Makrovaba Microsoft Wordi rämpspostimanused nakatavad kasutajaid pahavaraga

MiscellaneaDec 19, 2021
click fraud protection

Pahavara levitavad Wordi dokumendimanused ei küsi enam makrosid lubada

Makrovabad rämpspostirünnakud on juba kasutusel

Paljude aastate jooksul on pahatahtlike manustega rämpspost meetod, mis käivitas 93% pahavarast[1] viimase paari aasta jooksul. Otsustades Trustwave SpiderLabsi viimaste uudiste põhjal[2] teadlaste arvates tundub, et pahavara levitamine, peamiselt troojalased, nuhkvara, klahvilogijad, ussid, ja Ransomware, sõltuvad veelgi sellest, kui palju pahatahtlikke meilimanuseid inimesed avavad. Sellegipoolest kavatsevad häkkerid sisse viia ühe olulise muudatuse – nüüdsest võivad inimesed saada rämpsposti pahatahtlike Wordi dokumendi, Exceli või PowerPointi manustega, ilma et oleks vaja makrosid käitada stsenaarium. Kui varasemat pahavara käivitati ainult siis, kui potentsiaalne ohver lubas makrod,[3] nüüd aktiveeritakse see lihtsalt topeltklõpsuga meilimanusel.

Makrovaba tehnika on juba kasutusel

Kuigi teadlastel õnnestus see avastada alles veebruari alguses, näib, et Makrovaba tehnoloogia on välja antud liiga varem ja potentsiaalsed ohvrid võisid juba olla need kätte saanud.

See uus makrovaba rämpspostikampaania kasutab pahatahtlikke Wordi manuseid, mis aktiveerivad neljaastmelise infektsiooni, mis kasutab ära Office'i võrrandiredaktori haavatavus (CVE-2017-11882), mis võimaldab saada koodi käivitamise ohvri meili, FTP ja brauserid. Microsoft oli haavatavuse CVE-2017-11882 parandanud juba eelmisel aastal, kuid paljud süsteemid ei saanud seda paika mis tahes põhjustel.

Pahavara levitamiseks kasutatav makrovaba tehnika on omane .DOCX-vormingus manusele, samas kui rämpsposti päritolu on Necursi botnet.[4] Trustwave’i sõnul võib teema varieeruda, kuid kõigil neil on rahaline suhe. Täheldatud on nelja võimalikku versiooni:

  • TNT KONTOVÄLJAVÕTE
  • Hinnapäring
  • Teleksi edastamise teatis
  • SWIFT KOOPIA SILMAMAKSEKS

SpiderLabs kinnitas, et pahatahtlik manus langeb kokku igat tüüpi makrovabade rämpspostitustega. Nende sõnul on .DOCX-manuse nimi "receipt.docx".

Makrovaba ekspluatatsioonitehnika kett

Mitmeastmeline nakatumisprotsess algab kohe, kui potentsiaalne ohver avab .DOCX-faili. Viimane käivitab sisseehitatud OLE (Object Linking and Embedding) objekti, mis sisaldab väliseid viiteid häkkerite serveritele. Nii saavad häkkerid kaugjuurdepääsu OLE-objektidele, millele dokumendis document.xml.rels viidatakse.

Rämpspostitajad kasutavad Wordi (või .DOCX-vormingus) dokumente, mis on loodud Microsoft Office 2007 abil. Seda tüüpi dokumendid kasutavad avatud XML-vormingut, mis põhineb XML- ja ZIP-arhiivitehnoloogiatel. Ründajad leidsid viisi, kuidas neid tehnoloogiaid nii käsitsi kui ka automaatselt manipuleerida. Pärast seda algab teine ​​etapp alles siis, kui arvuti kasutaja avab pahatahtliku .DOCX-faili. Kui fail avatakse, loob see kaugühenduse ja laadib alla RTF-faili (rikastekstifailivorming).

Kui kasutaja avab DOCX-faili, pääseb see kaugdokumendi failile juurde URL-ilt: hxxp://gamestoredownload[.]download/WS-word2017pa[.]doc. See on tegelikult RTF-fail, mis laaditakse alla ja käivitatakse.

Nii näeb skemaatiliselt välja makrovaba pahavara käivitamise tehnika:

  • Potentsiaalne ohver saab meili, millele on lisatud .DOCX-fail.
  • Ta topeltklõpsab manusel ja laadib alla OLE-objekti.
  • Nüüd avaneb lõpuks oletatav Doc-fail, mis on tegelikkuses RTF.
  • DOC-fail kasutab ära Office Equation Editori haavatavust CVE-2017-11882.
  • Pahatahtlik kood käitab MSHTA käsurida.
  • See käsk laadib alla ja käivitab HTA-faili, mis sisaldab VBScripti.
  • VBScript pakib lahti PowerShelli skripti.
  • Powershelli skript installib seejärel pahavara.

Hoidke Windows OS ja Office ajakohasena, et kaitsta end makrovaba pahavara rünnakute eest

Küberturvalisuse eksperdid pole veel leidnud viisi, kuidas kaitsta inimeste e-posti kontosid Necursi rünnakute eest. Tõenäoliselt ei leita sajaprotsendilist kaitset üldse. Kõige olulisem nõuanne on hoiduda kahtlastest e-kirjadest. Kui te pole ametlikku dokumenti oodanud, kuid saate selle tühjalt kohalt, ärge langege selle nipi alla. Uurige selliseid sõnumeid grammatika- või kirjavigade suhtes, sest ametiasutused ei jäta oma ametlikesse teadetesse peaaegu ühtegi viga.

Lisaks ettevaatlikkusele on oluline hoida Windows ja Office ajakohasena. Neil, kes on automaatvärskendused pikka aega keelanud, on suur oht saada tõsiseid viirusnakkusi. Aegunud süsteem ja sellele installitud tarkvara võivad sisaldada turvaauke, nagu CVE-2017-11882, mida saab parandada ainult uusimate värskenduste installimisega.