L'équipe de Security Intelligence de Microsoft a découvert que des pirates utilisaient le Covid-19 pour piéger les internautes avec des emails intégrant des pièces jointes vérolées. Derrière une banale feuille Excel se cache une macro qui installe un programme pour prendre le contrôle à distance de l'ordinateur.

au sommaire

    L'épidémieépidémie de Covid-19Covid-19 continue d'inspirer les pirates, et MicrosoftMicrosoft a découvert qu'une campagne d'hameçonnagehameçonnage (phishing en anglais) profitait de la pandémiepandémie mondiale pour piéger les internautes. Mais le département Security Intelligence a surtout révélé que derrière ce phishing se cachait une tentative de prendre la main sur l'ordinateur à distance, et que depuis le 12 mai, la campagne aurait pris de l'ampleur.

    Concrètement, la victime reçoit un email qui lui propose d'accéder aux dernières statistiques sur le Covid-19. En pièce jointe, une feuille Excel avec les derniers chiffres proposés par le très sérieux Johns Hopkins Center, la référence aux Etats-Unis pour suivre l'épidémie de Covid-19. Sauf que la feuille Excel intègre une macro malveillante, qui aurait pour mission d'installer et exécuter NetSupport Manager.

    Derrière ce graphique des décès et des infections au Covid-19, une macro vérolée pour prendre l'accès de l'ordinateur à distance © Microsoft
    Derrière ce graphique des décès et des infections au Covid-19, une macro vérolée pour prendre l'accès de l'ordinateur à distance © Microsoft

    Un accès à distance du bureau de Windows

    Bien connu des développeurs et des administrateurs système, NetSupport Manager est un outil qui permet le contrôle à distance et l'accès au bureau de Windows, et les pirates utilisent donc les macros d'Excel pour piéger les internautes et les entreprises, et ainsi l'installer à leur dépend. Ensuite, l'outil se connecte à un serveur distant pour lancer davantage de commandes et exécuter des scripts et des fichiers.

    Ce qui inquiète Microsoft, c'est que les pièces jointes ont évolué depuis 15 jours, et qu'il en existe de nombreuses différentes. L'éditeur recommande de ne pas ouvrir les pièces jointes liées à des emails sur le Covid-19 et rappelle qu'il est possible de bloquer l'exécution des macros à l'intérieur même d'Excel. En cas de doute sur l'expéditeur, n'acceptez pas l'exécution de macros puisqu'elles intègrent des scripts susceptibles d'être des leurres pour un piratage. De la même façon, n'ouvrez pas des feuilles Excel d'un expéditeur inconnu ou difficile à identifier.