VBA:
VBA signifie Visual Basic pour Applications: il est un outil de programmation puissant et très largement utilisé qui peut être utilisé à l' intérieur des applications de droite tels que Microsoft Office.
Cela le rend "commun", et même parfaitement normal, dans les fichiers légitimes.
"Commun" = "Potentiellement dangereux"
En effet une simple pj Excel, Word ou autres peux receler un malware, un virus, capable de récupérer des informations ou vous emmener vers une voie lugubre.
Au cours de ce début d'année 2016, les logiciels malveillants qui arrivent en tant que programme VBA à l'intérieur d'un document innocent sont devenus un phénomène très courant dans le paysage des menaces et une arme essentielle dans les campagnes de spam.
Évidemment, les attaquants qui utilisent VBA comptent sur leurs victimes ayant une version d'Office installée.
Dans la majorité des cas, le fichier cible est un .dot, utilisé par word comme modèle de base des documents word. les conséquences sont variables, du simple affichage d'une boite de dialogue à la suppression de fichiers. Si vous ouvrez un fichier infecté par un virus macro ce dernier placera sa copie dans les fichiers de démarrage de l'application et l'ordinateur en sera infecté.
Depuis milieu d'année 2016, un nouveau virus à fait son apparition: "LOCKY"
Comme la plupart des ransomwares, Locky se diffuse par email (envoyés grâce à un botnet) dans lesquels se trouve une pièce jointe mortelle. Le sujet de ces emails suit toujours la même syntaxe (pour le moment), à savoir "ATTN: Invoice J-XXXXXXX". Le corps du message contient un message correctement rédigé, parfois en français, qui nous demande de payer rapidement une facture, et la pièce jointe est au format "invoice_J-XXXXXX.doc".
Quant au nom de l'expéditeur, ce n'est jamais le même. Il doit s'agir du propriétaire d'une des machines détournées via le botnet pour l'envoi de ces spams.
Le fichier Word (.doc) attaché contient un texte étrange qui indique d'activer les macros pour pouvoir le lire. Je vous rassure, si les macros sont activées, le texte ne sera pas réellement déchiffré. Par contre, le ransomware Locky sera rapidement téléchargé et installé sur l'ordinateur.
Nos conseils:
- N'ouvrez pas systématiquement une pj recue dans un email !
- Avoir un antivirus à jour
- Vérifier l'expéditeur en cliquant sur "source" afin de vérifier le nom de domaine de type exemple@nomdedomaine.com
- vérifier que vous connaissez l'expéditeur
- Faites régulièrement des sauvegardes
- Si vous avez des employés, ou si vous êtes administrateur réseau dans une société, faites immédiatement une réunion d'information auprès des employés pour les avertir et rappeler ces bonnes bases.
- Enfin, ne cédez pas à la paranoïa :)
Article réalisé par les équipes de MakroXL Software - Société de développement de solution VBA pour entreprises et sociétés présente à Paris, Lyon et Marseille.