Publicité en cours de chargement...
Necurs : le cheval de Troie qui s’infiltre via la messagerie et esquive les antivirus
Un fichier Excel Web Query, est un fichier qui permet d’intégrer dynamiquement du contenu en provenance du Web directement dans un fichier Excel. Une vraie fausse bonne idée, signée Microsoft.
Un fichier qui permet de télécharger du contenu depuis le Web, sans avoir à utiliser des macros et sans spécifier le téléchargement d’un exécutable ou script directement dans ce même fichier, c’est du pain béni pour tout attaquant qui souhaite s’infiltrer dans un système d’information sans déclencher les alertes des antivirus.
Sur un système Windows, un fichier avec l’extension .iqy est ouvert par défaut avec Excel.
Il suffit juste de lui préciser l’adresse du fichier texte indiquant le contenu que l’on souhaite insérer dans notre fichier Excel pour qu’il l’intègre.
Concrètement, comment ça fonctionne ?
Je peux tout d’abord créer un fichier texte dans lequel je saisi mon contenu à insérer et je le place sur un serveur Web :
Je crée ensuite un fichier Excel Web Query à l’aide du bloc note Windows par exemple qui fait appel à mon fichier texte depuis le Web :
Le contenu de mon fichier texte distant va donc s’intégrer à mon fichier Excel :
Le « hic », c’est qu’il est tout fait possible d’exécuter des commandes dans Excel et qu’il suffit de spécifier des commandes dans le fichier texte appelé pour les exécuter.
Dans cet exemple, je demande simplement l’ouverture du logiciel Paint via l’invite de commandes Windows :
Pas de problème, Excel sait le faire :
Et bien, pour distribuer leur cheval de Troie « Necurs », les attaquants ont utilisé cette méthode toute simple. Un courriel contenant une pièce jointe au format Excel Web Querry, qui fait appel à un fichier texte distant demandant l’exécution de Powershell depuis l’invite de commandes, pour ensuite télécharger la charge utile et installer le logiciel malveillant.
Voilà, la machine de la victime est ainsi intégrée au botnet et les attaquants peuvent la contrôler depuis leur(s) serveur(s) de commandes et de contrôle, et potentiellement s’infiltrer dans le système d’information.
Je dois vous avouer qu’Excel affiche des messages d’avertissement, mais combien d’utilisateurs cliquent encore sur « OK », sans même avoir lu les deux lignes qui précédent le bouton ?
Alors comment lutter contre ce type de campagnes ?
Sensibiliser les utilisateurs est indispensable certes, mais pas toujours suffisant.
Bloquer les fichiers avec une extension .iqy avant qu’ils n’arrivent dans la boite de réception des utilisateurs me parait judicieux. La majorité des utilisateurs n’ont pas connaissance de l’existence de ce type de fichiers, il y a donc très peu de chances qu’ils soient lésés par ce blocage. De plus, cette méthode risque bien d’être employée à nouveau et largement plagiée par d’autres attaquants.
L’ajout d’une règle MailScanner par exemple fera parfaitement le job :
À vous de jouer !
[1]
Avez-vous apprécié ce contenu ?
A lire également.

Cybersécurité hospitalière : le GHT Rhône Nord Beaujolais Dombes, premier lauréat du programme CaRE
09 mai 2025 - 16:39,
Actualité
- DSIHLe programme CaRE franchit une étape clé. Moins d’un an après le lancement de son premier appel à financement dédié à la sécurisation des annuaires techniques et de l’exposition sur Internet, la direction du programme annonce la validation du premier dossier ayant atteint l’ensemble des objectifs fi...

Ce que nous enseigne la mégapanne électrique dans la péninsule ibérique
05 mai 2025 - 23:11,
Tribune
-Impossible de l’avoir ratée, la mégapanne électrique chez nos amis espagnols et portugais. Cet incident est riche d’enseignements, et force est de constater qu’il n’y a pas que des mauvaises nouvelles. D’abord, selon nos informations à ce jour, il n’y a eu aucune victime : c’est une bonne nouvelle.

Un hôpital, sous-traitant, sanctionné pour ne pas avoir déclaré les sous-traitants ultérieurs
02 mai 2025 - 16:13,
Tribune
- Alexandre Fievee, Gaétan Dufoulon et Alice Robert de Derriennic AssociésPar décision du 10 avril 2025 [1], l’autorité de contrôle espagnole a infligé une amende de 500.000 euros à un hôpital qui avait recruté des sous-traitants ultérieurs sans en informer préalablement le responsable du traitement.

Éthicovigilance numérique : premiers signaux d’alerte dans la santé connectée
24 avril 2025 - 15:14,
Actualité
- DSIHLa Délégation au numérique en santé (DNS) publie le premier rapport d’activité de la Plateforme d’éthicovigilance du numérique en santé, un dispositif inédit lancé fin 2023 pour recueillir les signalements d’usagers et de professionnels confrontés à des enjeux éthiques liés aux technologies de santé...