Haittaohjelmia levittävät Word-asiakirjan liitteet eivät enää pyydä makrojen käyttöönottoa
Monien vuosien ajan haitallisia liitteitä sisältävä roskaposti on tapa, joka suoritti 93 % haittaohjelmista[1] parin viime vuoden ajan. Trustwave SpiderLabsin viimeisimmistä uutisista päätellen[2] tutkijoiden mukaan haittaohjelmien, pääasiassa troijalaisten, vakoiluohjelmien, näppäinloggereiden, matojen, levittäminen näyttää ja Ransomware, riippuvat edelleen siitä, kuinka monta haitallista sähköpostin liitetiedostoa ihmiset aikovat avata. Siitä huolimatta hakkerit aikovat tehdä yhden tärkeän muutoksen – tästä lähtien ihmiset voivat vastaanottaa roskapostia haitallisten Word-, Excel- tai PowerPoint-liitteiden kanssa ilman makrojen suorittamista käsikirjoitus. Jos aikaisemmat haittaohjelmat suoritettiin vain, kun mahdollinen uhri otti käyttöön makrot,[3] nyt se aktivoidaan vain kaksoisnapsauttamalla sähköpostin liitetiedostoa.
Makroton tekniikka on jo käytössä
Vaikka tutkijat onnistuivat havaitsemaan sen vasta helmikuun alussa, näyttää siltä, että Makrotonta teknologiaa on julkaistu aivan liian aikaisemmin ja mahdolliset uhrit ovat saattaneet jo olla sai ne.
Tämä uusi makroton roskapostikampanja käyttää haitallisia Word-liitteitä aktivoimaan nelivaiheisen tartunnan, joka hyödyntää Office Equation Editorin haavoittuvuus (CVE-2017-11882), joka mahdollistaa koodin suorittamisen uhrin sähköpostista, FTP: stä ja selaimet. Microsoft oli jo korjannut CVE-2017-11882-haavoittuvuuden viime vuonna, mutta monet järjestelmät eivät jostain syystä vastaanottaneet korjaustiedostoa.
Haittaohjelmien levittämiseen käytetty makrovapaa tekniikka liittyy .DOCX-muotoiseen liitteeseen, kun taas roskapostin alkuperä on Necurs-botnet.[4] Trustwaven mukaan aihe voi vaihdella, mutta heillä kaikilla on taloudellinen suhde. Neljä mahdollista versiota on havaittu:
- TNT: N TILINTARKASTUS
- Tarjouspyyntö
- Teleksisiirtoilmoitus
- SWIFT KOPIO SALDOMAKSUT
SpiderLabs hyväksyi, että haitallinen liite osuu yhteen kaikentyyppisten makrottomien roskapostiviestien kanssa. Heidän mukaansa .DOCX-liite on nimeltään "receipt.docx".
Makrovapaan hyväksikäyttötekniikan ketju
Monivaiheinen tartuntaprosessi alkaa heti, kun mahdollinen uhri avaa .DOCX-tiedoston. Jälkimmäinen laukaisee sulautetun OLE-objektin (Object Linking and Embedding), joka sisältää ulkoisia viittauksia hakkeripalvelimiin. Tällä tavalla hakkerit saavat etäyhteyden OLE-objekteihin, joihin viitataan tiedostossa document.xml.rels.
Roskapostittajat käyttävät hyväkseen Word (tai .DOCX-muotoisia) asiakirjoja, jotka on luotu Microsoft Office 2007:llä. Tämäntyyppiset asiakirjat käyttävät Open XML -muotoa, joka perustuu XML- ja ZIP-arkistotekniikoihin. Hyökkääjät löysivät tavan manipuloida näitä tekniikoita sekä manuaalisesti että automaattisesti. Tämän jälkeen vaihe kaksi alkaa vasta, kun tietokoneen käyttäjä avaa haitallisen .DOCX-tiedoston. Kun tiedosto avataan, se muodostaa etäyhteyden ja lataa RTF-tiedoston (rich text file format).
Kun käyttäjä avaa DOCX-tiedoston, etäasiakirjatiedostoon päästään URL-osoitteesta: hxxp://gamestoredownload[.]download/WS-word2017pa[.]doc. Tämä on itse asiassa RTF-tiedosto, joka ladataan ja suoritetaan.
Makroton haittaohjelmien suoritustekniikka näyttää kaavamaisesti tältä:
- Mahdollinen uhri saa sähköpostin, jonka liitteenä on .DOCX-tiedosto.
- Hän kaksoisnapsauttaa liitettä ja lataa OLE-objektin.
- Nyt oletettu Doc-tiedosto, joka on todellisuudessa RTF, avautuu lopulta.
- DOC-tiedosto hyödyntää CVE-2017-11882 Office Equation Editor -haavoittuvuutta.
- Haitallinen koodi suorittaa MSHTA-komentorivin.
- Tämä komento lataa ja suorittaa HTA-tiedoston, joka sisältää VBScriptin.
- VBScript purkaa PowerShell-komentosarjan.
- Powershell-skripti asentaa myöhemmin haittaohjelman.
Pidä Windows-käyttöjärjestelmä ja Office ajan tasalla suojautuaksesi makrottomilta haittaohjelmahyökkäyksiltä
Kyberturvallisuusasiantuntijat eivät ole vielä löytäneet tapaa suojata ihmisten sähköpostitilejä Necurs-hyökkäyksiltä. Todennäköisesti sataprosenttista suojaa ei löydy ollenkaan. Tärkein neuvo on välttää epäilyttäviä sähköpostiviestejä. Jos et ole odottanut virallista asiakirjaa, mutta saat sellaisen tyhjästä, älä sorru tähän temppuun. Selvitä tällaisista viesteistä kielioppi- tai kirjoitusvirheitä, sillä viranomaiset tuskin jätä virheitä virallisiin ilmoituksiinsa.
Varovaisuuden lisäksi on tärkeää pitää Windows ja Office ajan tasalla. Niillä, jotka ovat poistaneet automaattiset päivitykset käytöstä pitkään, on suuri riski saada vakavia virusinfektioita. Vanhentunut järjestelmä ja siihen asennetut ohjelmistot voivat sisältää haavoittuvuuksia, kuten CVE-2017-11882, jotka voidaan korjata vain asentamalla uusimmat päivitykset.