Přílohy dokumentů aplikace Word, které šíří malware, již nepožadují povolení maker
Po mnoho let byl spam se škodlivými přílohami metodou, která spustila 93 % malwaru[1] za posledních pár let. Soudě podle nejnovějších zpráv Trustwave SpiderLabs[2] výzkumníků, zdá se, že šíření malwaru, zejména trojských koní, spywaru, keyloggerů, červů, a Ransomware, bude dále záviset na tom, kolik škodlivých e-mailových příloh lidé otevřou. Přesto se hackeři chystají zavést jednu důležitou změnu – od nynějška mohou lidé dostávat spam se škodlivými přílohami Word Document, Excel nebo PowerPoint bez požadavku na spouštění maker skript. Pokud byl dřívější malware spuštěn pouze tehdy, když potenciální oběť aktivovala makra,[3] nyní bude aktivován pouhým dvojitým kliknutím na přílohu e-mailu.
Technika bez makra se již používá
Přestože se jej vědcům podařilo odhalit až na začátku února, zdá se, že ano Technologie bez makra byla uvolněna příliš dříve a potenciální oběti již možná ano přijal je.
Tato nová kampaň proti spamu bez maker využívá škodlivé přílohy Wordu k aktivaci čtyřfázové infekce, která využívá Chyba zabezpečení Office Equation Editor (CVE-2017-11882) pro získání spuštění kódu z e-mailu, FTP a prohlížeče. Microsoft již opravoval zranitelnost CVE-2017-11882 v loňském roce, ale mnoho systémů tuto opravu z jakýchkoli důvodů neobdrželo.
Technika bez maker používaná k šíření malwaru je vlastní přílohám ve formátu .DOCX, zatímco původem spamu je botnet Necurs.[4] Podle Trustwave se předmět může lišit, ale všechny mají finanční vztah. Byly zaznamenány čtyři možné verze:
- TNT VÝPIS Z ÚČTU
- Žádost o cenovou nabídku
- Telex Transfer Notification
- SWIFTOVÁ KOPIE PRO PLATBU ZŮSTATKU
SpiderLabs schválily, že škodlivá příloha se shoduje se všemi typy nevyžádaných e-mailů bez maker. Podle nich je příloha .DOCX pojmenována jako „receipt.docx“.
Řetězec techniky využívání bez makra
Vícefázový proces infekce se spustí, jakmile potenciální oběť otevře soubor .DOCX. Ten spouští vložený objekt OLE (Object Linking and Embedding), který obsahuje externí odkazy na servery hackerů. Tímto způsobem hackeři získají vzdálený přístup k objektům OLE, na které se odkazuje v souboru document.xml.rels.
Spammeři zneužívají dokumenty aplikace Word (nebo ve formátu .DOCX), které byly vytvořeny pomocí sady Microsoft Office 2007. Tento typ dokumentů používá Open XML Format, který je založen na technologiích archivu XML a ZIP. Útočníci našli způsob, jak s těmito technologiemi manipulovat ručně i automaticky. Poté se druhá fáze spustí pouze tehdy, když uživatel PC otevře škodlivý soubor .DOCX. Když je soubor otevřen, naváže vzdálené připojení a stáhne soubor RTF (formát souboru RTF).
Když uživatel otevře soubor DOCX, způsobí přístup ke vzdálenému souboru dokumentu z adresy URL: hxxp://gamestoredownload[.]download/WS-word2017pa[.]doc. Toto je ve skutečnosti soubor RTF, který se stáhne a spustí.
Technika provádění malwaru bez makra vypadá schematicky takto:
- Potenciální oběť dostane e-mail s připojeným souborem .DOCX.
- On nebo ona poklepe na přílohu a stáhne objekt OLE.
- Nyní se předpokládaný soubor Doc, který je ve skutečnosti RTF, nakonec otevře.
- Soubor DOC zneužívá chybu zabezpečení CVE-2017-11882 Office Equation Editor.
- Škodlivý kód spustí příkazový řádek MSHTA.
- Tento příkaz stáhne a spustí soubor HTA, který obsahuje VBScript.
- VBScript rozbalí skript PowerShellu.
- Skript Powershell následně nainstaluje malware.
Udržujte operační systém Windows a Office aktuální, abyste se chránili před útoky malwaru bez maker
Odborníci na kybernetickou bezpečnost zatím nenašli způsob, jak ochránit e-mailové účty lidí před útoky Necurs. Stoprocentní ochrana se pravděpodobně vůbec nenajde. Nejdůležitější radou je držet se dál od pochybných e-mailových zpráv. Pokud jste na oficiální dokument nečekali, ale z ničeho nic ho obdržíte, nepodlehněte tomuto triku. Prozkoumejte takové zprávy, zda neobsahují gramatické nebo překlepové chyby, protože oficiální úřady ve svých oficiálních oznámeních jen stěží zanechají nějaké chyby.
Kromě opatrnosti je důležité udržovat Windows a Office aktuální. Ti, kteří mají automatické aktualizace na dlouhou dobu vypnuté, jsou vystaveni vysokému riziku závažných virových infekcí. Zastaralý systém a software na něm nainstalovaný mohou obsahovat chyby zabezpečení, jako je CVE-2017-11882, které lze opravit pouze instalací nejnovějších aktualizací.