Necurs : le cheval de Troie qui s’infiltre via la messagerie et esquive les antivirus

Un fichier Excel Web Query, est un fichier qui permet d’intégrer dynamiquement du contenu en provenance du Web directement dans un fichier Excel. Une vraie fausse bonne idée, signée Microsoft.

Un fichier qui permet de télécharger du contenu depuis le Web, sans avoir à utiliser des macros et sans spécifier le téléchargement d’un exécutable ou script directement dans ce même fichier, c’est du pain béni pour tout attaquant qui souhaite s’infiltrer dans un système d’information sans déclencher les alertes des antivirus.

Sur un système Windows, un fichier avec l’extension .iqy est ouvert par défaut avec Excel.
Il suffit juste de lui préciser l’adresse du fichier texte indiquant le contenu que l’on souhaite insérer dans notre fichier Excel pour qu’il l’intègre.

Concrètement, comment ça fonctionne ?
Je peux tout d’abord créer un fichier texte dans lequel je saisi mon contenu à insérer et je le place sur un serveur Web :

Je crée ensuite un fichier Excel Web Query à l’aide du bloc note Windows par exemple qui fait appel à mon fichier texte depuis le Web :

Le contenu de mon fichier texte distant va donc s’intégrer à mon fichier Excel :

Le « hic », c’est qu’il est tout fait possible d’exécuter des commandes dans Excel et qu’il suffit de spécifier des commandes dans le fichier texte appelé pour les exécuter.
Dans cet exemple, je demande simplement l’ouverture du logiciel Paint via l’invite de commandes Windows :

Pas de problème, Excel sait le faire :

Et bien, pour distribuer leur cheval de Troie « Necurs », les attaquants ont utilisé cette méthode toute simple. Un courriel contenant une pièce jointe au format Excel Web Querry, qui fait appel à un fichier texte distant demandant l’exécution de Powershell depuis l’invite de commandes, pour ensuite télécharger la charge utile et installer le logiciel malveillant.
Voilà, la machine de la victime est ainsi intégrée au botnet et les attaquants peuvent la contrôler depuis leur(s) serveur(s) de commandes et de contrôle, et potentiellement s’infiltrer dans le système d’information.

Je dois vous avouer qu’Excel affiche des messages d’avertissement, mais combien d’utilisateurs cliquent encore sur « OK », sans même avoir lu les deux lignes qui précédent le bouton ?

Alors comment lutter contre ce type de campagnes ?

Sensibiliser les utilisateurs est indispensable certes, mais pas toujours suffisant.

Bloquer les fichiers avec une extension .iqy avant qu’ils n’arrivent dans la boite de réception des utilisateurs me parait judicieux. La majorité des utilisateurs n’ont pas connaissance de l’existence de ce type de fichiers, il y a donc très peu de chances qu’ils soient lésés par ce blocage. De plus, cette méthode risque bien d’être employée à nouveau et largement plagiée par d’autres attaquants.

L’ajout d’une règle MailScanner par exemple fera parfaitement le job :

À vous de jouer !

[1]