Picus Security détaille l'utilisation de Visual Basic dans les cyberattaques

La société de cybersécurité Picus Security a publié une analyse approfondie sur la manière dont les langages basés sur Visual Basic sont utilisés dans les cyberattaques. L'analyse se concentre sur la technique T1059.005 du framework MITRE ATT&CK, illustrant comment les attaquants exploitent Visual Basic, Visual Basic for Applications (VBA) et VBScript pour exécuter du code malveillant et automatiser des actions sur les systèmes.

Visual Basic et ses dérivés, tels que VBA et VBScript, sont des langages de programmation largement utilisés, profondément intégrés aux produits Microsoft et au système d'exploitation Windows. Cette intégration permet aux attaquants d'exécuter du code de manière à se fondre dans l'activité normale du système. Les macros VBA dans les documents Microsoft Office et les scripts VBScript sont fréquemment utilisés comme point d'exécution initial, souvent livrés via des messages d'hameçonnage (phishing).

Le rapport de Picus Security met en évidence des exemples de campagnes d'attaques réelles. Une campagne a utilisé VBScript pour télécharger et exécuter des programmes malveillants depuis le web, en exploitant des entrées de registre et des dossiers de démarrage pour assurer la persistance. Une autre campagne, "Void Banshee", a utilisé VBScript via une vulnérabilité du système d'exploitation pour télécharger et exécuter d'autres scripts malveillants.

Le rapport souligne que les attaquants utilisent ces langages de script de manière polyvalente tout au long des phases d'attaque, y compris pour obtenir un accès initial, assurer la persistance et effectuer des activités malveillantes ultérieures sans avoir recours à des outils externes. Une détection et une atténuation efficaces reposent sur une conscience continue des menaces et des solutions de sécurité robustes.