Publicité en cours de chargement...

Publicité en cours de chargement...

Necurs : le cheval de Troie qui s’infiltre via la messagerie et esquive les antivirus

12 juin 2018 - 12:04,
Tribune - Charles Blanc-Rolin
Dans une récente campagne de messages non sollicités, révélée par l’éditeur Barkly [1], les attaquants ont réussi déjouer les analyses antivirales en utilisant un type de fichier très peu courant : Excel Web Query, dont l’extension de fichier est .iqy.

Un fichier Excel Web Query, est un fichier qui permet d’intégrer dynamiquement du contenu en provenance du Web directement dans un fichier Excel. Une vraie fausse bonne idée, signée Microsoft.

Un fichier qui permet de télécharger du contenu depuis le Web, sans avoir à utiliser des macros et sans spécifier le téléchargement d’un exécutable ou script directement dans ce même fichier, c’est du pain béni pour tout attaquant qui souhaite s’infiltrer dans un système d’information sans déclencher les alertes des antivirus.

Sur un système Windows, un fichier avec l’extension .iqy est ouvert par défaut avec Excel.
Il suffit juste de lui préciser l’adresse du fichier texte indiquant le contenu que l’on souhaite insérer dans notre fichier Excel pour qu’il l’intègre.

Concrètement, comment ça fonctionne ?
Je peux tout d’abord créer un fichier texte dans lequel je saisi mon contenu à insérer et je le place sur un serveur Web :

Je crée ensuite un fichier Excel Web Query à l’aide du bloc note Windows par exemple qui fait appel à mon fichier texte depuis le Web :

iqy_make

Le contenu de mon fichier texte distant va donc s’intégrer à mon fichier Excel :

Le « hic », c’est qu’il est tout fait possible d’exécuter des commandes dans Excel et qu’il suffit de spécifier des commandes dans le fichier texte appelé pour les exécuter.
Dans cet exemple, je demande simplement l’ouverture du logiciel Paint via l’invite de commandes Windows :

Pas de problème, Excel sait le faire :

Et bien, pour distribuer leur cheval de Troie « Necurs », les attaquants ont utilisé cette méthode toute simple. Un courriel contenant une pièce jointe au format Excel Web Querry, qui fait appel à un fichier texte distant demandant l’exécution de Powershell depuis l’invite de commandes, pour ensuite télécharger la charge utile et installer le logiciel malveillant.
Voilà, la machine de la victime est ainsi intégrée au botnet et les attaquants peuvent la contrôler depuis leur(s) serveur(s) de commandes et de contrôle, et potentiellement s’infiltrer dans le système d’information.

Je dois vous avouer qu’Excel affiche des messages d’avertissement, mais combien d’utilisateurs cliquent encore sur « OK », sans même avoir lu les deux lignes qui précédent le bouton ?


Alors comment lutter contre ce type de campagnes ?

Sensibiliser les utilisateurs est indispensable certes, mais pas toujours suffisant.

Bloquer les fichiers avec une extension .iqy avant qu’ils n’arrivent dans la boite de réception des utilisateurs me parait judicieux. La majorité des utilisateurs n’ont pas connaissance de l’existence de ce type de fichiers, il y a donc très peu de chances qu’ils soient lésés par ce blocage. De plus, cette méthode risque bien d’être employée à nouveau et largement plagiée par d’autres attaquants.

L’ajout d’une règle MailScanner par exemple fera parfaitement le job :

À vous de jouer !

[1] 

Avez-vous apprécié ce contenu ?

A lire également.

Illustration Imprivata, éditeur international de solutions de gestion des accès, se développe sur le marché français pour répondre à la demande croissante en matière de sécurité et de conformité

Imprivata, éditeur international de solutions de gestion des accès, se développe sur le marché français pour répondre à la demande croissante en matière de sécurité et de conformité

22 sept. 2025 - 22:42,

Communiqué

- Imprivata

Imprivata, un éditeur international de logiciels, spécialisé dans la gestion des accès et des identités numériques pour le secteur de la santé et d’autres secteurs critiques, vient d’annoncer son expansion en France afin de répondre au besoin croissant d’améliorer leur sécurité et de se conformer au...

Illustration Intelligence artificielle : construire la confiance, renforcer les compétences

Intelligence artificielle : construire la confiance, renforcer les compétences

22 sept. 2025 - 22:31,

Tribune

-
Nausica MAIORCA

Dans moins de trois ans, l’Intelligence Artificielle sera présente dans 90 % des établissements de santé. Déjà adoptée par un tiers d’entre eux, elle impose de dépasser le mythe technologique pour affronter la question d’un usage éclairé.

Refuser de donner son mot de passe lors d’un arrêt maladie serait seulement un problème de désobéissance ? Bullshit.

22 sept. 2025 - 22:16,

Tribune

-
Cédric Cartau

Vous l’avez certainement vu passer, cet article [1] d’acteurspublic.fr qui commente la décision d’un tribunal administratif et qui affirme que « Refuser de donner son mot de passe lors d’un arrêt maladie peut être assimilé à de la désobéissance ». Sauf que l’histoire est un tantinet plus complexe e...

Illustration Un nouveau partenariat entre la Cnil et l’Agence de l’innovation en santé

Un nouveau partenariat entre la Cnil et l’Agence de l’innovation en santé

22 sept. 2025 - 22:06,

Brève

- Damien Dubois, DSIH,

Le 15 septembre, la Cnil et l’Agence de l’innovation en santé ont annoncé sur LinkedIn la signature d’une convention de partenariat pour renforcer la protection des données à caractère personnel dans le secteur de la santé.

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.