Word-dokumentvedhæftede filer, der spreder malware, beder ikke længere om at aktivere makroer
I mange år har spam-e-mail med ondsindede vedhæftede filer været den metode, der udførte 93 % af malware[1] for de sidste par år. At dømme ud fra de seneste nyheder fra Trustwave SpiderLabs[2] forskere, ser det ud til, at spredning af malware, hovedsageligt trojanske, spyware, keyloggers, orme, og Ransomware, vil yderligere afhænge af, hvor mange ondsindede e-mail-vedhæftede filer folk vil åbne. Ikke desto mindre vil hackere introducere en vigtig ændring - fra nu af kan folk modtage spam med ondsindede vedhæftede filer i Word-dokument, Excel eller PowerPoint uden krav om at køre en makroer manuskript. Hvis tidligere malware kun blev udført, når det potentielle offer aktiverede makroer,[3] nu vil den blive aktiveret ved blot at dobbeltklikke på en vedhæftet fil.
Makroløs teknik er allerede i brug
Selvom det først lykkedes forskerne at opdage det i begyndelsen af februar, ser det ud til, at den Makroløs teknologi er blevet frigivet alt for tidligere, og potentielle ofre er det måske allerede modtaget dem.
Denne nye makrofri spamkampagne bruger ondsindede vedhæftede filer, aktiverer fire-trins infektion, som udnytter Office Equation Editor sårbarhed (CVE-2017-11882) for at opnå kodekørsel fra offerets e-mail, FTP og browsere. Microsoft havde allerede rettet CVE-2017-11882-sårbarheden sidste år, men mange systemer modtog ikke patchen af en eller anden grund.
Den makrofri teknik, der bruges til at sprede malware, er iboende i en .DOCX-formateret vedhæftet fil, mens oprindelsen af spam-e-mailen er Necurs botnet.[4] Ifølge Trustwave kan emnet variere, men alle har de et økonomisk forhold. Fire mulige versioner er blevet bemærket:
- TNT KONTOUDTALELSE
- Anmodning om tilbud
- Meddelelse om overførsel af telex
- HURTIG KOPI TIL SALDOBETALING
SpiderLabs godkendte, at den ondsindede vedhæftede fil falder sammen med alle typer spam-e-mails uden makro. Ifølge dem er .DOCX-vedhæftningen navngivet som "receipt.docx."
Kæden af makrofri udnyttelsesteknik
Flertrinsinfektionsprocessen starter, så snart det potentielle offer åbner .DOCX-filen. Sidstnævnte udløser et indlejret OLE-objekt (Object Linking and Embedding), der indeholder eksterne referencer til hackers servere. På denne måde får hackere fjernadgang til OLE-objekter, der skal refereres til i document.xml.rels.
Spammere udnytter de Word-dokumenter (eller .DOCX-formaterede), der er oprettet ved hjælp af Microsoft Office 2007. Denne type dokumenter bruger Open XML-formatet, som er baseret på XML- og ZIP-arkivteknologier. Angribere fandt vejen til at manipulere disse teknologier både manuelt og automatisk. Derefter starter trin to først, når pc'ens bruger åbner den ondsindede .DOCX-fil. Når filen åbnes, etablerer den fjernforbindelsen og downloader en RTF-fil (rich text file format).
Når brugeren åbner DOCX-filen, får det adgang til en ekstern dokumentfil fra URL'en: hxxp://gamestoredownload[.]download/WS-word2017pa[.]doc. Dette er faktisk en RTF-fil, der downloades og udføres.
Sådan ser makro-fri malware-udførelsesteknik ud skematisk:
- Et potentielt offer får en e-mail med en .DOCX-fil vedhæftet.
- Han eller hun dobbeltklikker på den vedhæftede fil og downloader et OLE-objekt.
- Nu åbner den formodede Doc-fil, som i virkeligheden er RTF, til sidst.
- DOC-filen udnytter CVE-2017-11882 Office Equation Editor-sårbarheden.
- Den ondsindede kode kører en MSHTA-kommandolinje.
- Denne kommando downloader og udfører en HTA-fil, som indeholder VBScript.
- VBScript'et udpakker et PowerShell-script.
- Powershell-scriptet installerer efterfølgende malwaren.
Hold Windows OS og Office opdateret for at beskytte dig selv mod malware-angreb uden makro
Cybersikkerhedseksperter har endnu ikke fundet en måde at beskytte folks e-mail-konti mod Necurs-angreb. Sandsynligvis vil der slet ikke blive fundet en hundrede procent beskyttelse. Det vigtigste råd er at holde sig væk fra tvivlsomme e-mails. Hvis du ikke har ventet på et officielt dokument, men du modtager et ud af ingenting, skal du ikke falde for dette trick. Undersøg sådanne meddelelser for grammatik- eller tastefejl, fordi officielle myndigheder næppe vil efterlade nogen fejl i deres officielle meddelelser.
Ud over omhyggelighed er det vigtigt at holde Windows og Office opdateret. De, der har deaktiveret automatiske opdateringer i lang tid, har høj risiko for alvorlige virusinfektioner. Forældet system og software installeret på det kan indeholde sårbarheder som CVE-2017-11882, som kun kan repareres ved at installere de seneste opdateringer.