Прикачените документи към Word, които разпространяват злонамерен софтуер, вече не изискват активиране на макроси
В продължение на много години спам имейлът със злонамерени прикачени файлове е методът, който изпълнява 93% от зловреден софтуер[1] за последните няколко години. Съдейки по последните новини на Trustwave SpiderLabs[2] изследователи, изглежда, че разпространението на зловреден софтуер, главно троянски, шпионски софтуер, кейлогъри, червеи, и Ransomware, допълнително ще зависи от това колко злонамерени прикачени имейли хората ще отворят. Въпреки това хакерите ще въведат една важна промяна – отсега нататък хората може да получават спам със злонамерени прикачени файлове към Word документ, Excel или PowerPoint без изискване за стартиране на макроси скрипт. Ако по-ранен зловреден софтуер е бил изпълняван само когато потенциалната жертва е активирала макроси,[3] сега ще се активира само с двукратно щракване върху прикачен имейл.
Вече се използва техника без макрос
Въпреки че изследователите успяха да го открият едва в началото на февруари, изглежда, че Технологията без макрос е пусната твърде по-рано и потенциалните жертви може вече да са го направили ги получи.
Тази нова спам кампания без макроси използва злонамерени прикачени файлове на Word, активиращи четиристепенна инфекция, която експлоатира Уязвимост на Office Equation Editor (CVE-2017-11882) за получаване на изпълнение на код от имейла на жертвата, FTP и браузъри. Microsoft вече беше коригирал уязвимостта CVE-2017-11882 миналата година, но много системи не получиха корекцията по някакви причини.
Техниката без макроси, използвана за разпространение на зловреден софтуер, е присъща на .DOCX форматиран прикачен файл, докато произходът на спам имейла е Necurs ботнет.[4] Според Trustwave темата може да варира, но всички те имат финансова връзка. Забелязани са четири възможни версии:
- TNT ИЗВЕДЕНИЕ ЗА СМЕТКА
- Запитване за оферта
- Уведомление за прехвърляне на телекс
- БЪРЗО КОПИЕ ЗА ПЛАЩАНЕ НА БАЛАНС
SpiderLabs одобри, че злонамереният прикачен файл съвпада с всички видове спам имейли без макроси. Според тях прикаченият файл .DOCX е наречен „receipt.docx“.
Веригата на техниката за експлоатация без макроси
Многоетапният процес на заразяване започва веднага щом потенциалната жертва отвори .DOCX файла. Последният задейства вграден OLE (Object Linking and Embedding) обект, който съдържа външни препратки към сървъри на хакери. По този начин хакерите получават отдалечен достъп до OLE обекти, които да бъдат посочени в document.xml.rels.
Разпространителите на спам използват документите на Word (или .DOCX), които са създадени с помощта на Microsoft Office 2007. Този тип документи използва Open XML формат, който се основава на XML и ZIP архивни технологии. Нападателите намериха начин да манипулират тези технологии както ръчно, така и автоматично. След това вторият етап започва само когато потребителят на компютъра отвори злонамерения .DOCX файл. Когато файлът се отвори, той установява отдалечена връзка и изтегля файл RTF (формат на богат текстов файл).
Когато потребителят отвори DOCX файла, това води до достъп до отдалечен документен файл от URL: hxxp://gamestoredownload[.]download/WS-word2017pa[.]doc. Това всъщност е RTF файл, който се изтегля и изпълнява.
Ето как схематично изглежда техниката за изпълнение на злонамерен софтуер без макрос:
- Потенциална жертва получава имейл с прикачен .DOCX файл.
- Той или тя щраква двукратно върху прикачения файл и изтегля OLE обект.
- Сега предполагаемият файл Doc, който в действителност е RTF, в крайна сметка се отваря.
- DOC файлът експлоатира уязвимостта CVE-2017-11882 Office Equation Editor.
- Злонамереният код изпълнява команден ред на MSHTA.
- Тази команда изтегля и изпълнява HTA файл, който съдържа VBScript.
- VBScript разопакова PowerShell скрипт.
- Впоследствие скриптът на Powershell инсталира злонамерения софтуер.
Поддържайте Windows OS и Office актуални, за да се предпазите от атаки на злонамерен софтуер без макрос
Експертите по киберсигурност все още не са намерили начин да защитят имейл акаунтите на хората от атаки на Necurs. Вероятно стопроцентова защита изобщо няма да се намери. Най-важният съвет е да стоите далеч от съмнителни имейл съобщения. Ако не сте чакали официален документ, но сте го получили от нищото, не се поддавайте на този трик. Разследвайте такива съобщения за граматически или печатни грешки, защото официалните власти едва ли ще оставят грешки в официалните си известия.
В допълнение към внимателността, важно е да поддържате Windows и Office актуални. Тези, които са деактивирали автоматичните актуализации за дълго време, са изложени на висок риск от тежки вирусни инфекции. Остарялата система и софтуерът, инсталиран на нея, може да съдържат уязвимости като CVE-2017-11882, които могат да бъдат коригирани само чрез инсталиране на най-новите актуализации.