קבצי דואר זבל של Microsoft Word ללא מאקרו מדביקים משתמשים בתוכנות זדוניות

MiscellaneaDec 19, 2021

קבצים מצורפים של מסמכי Word שמפיצים תוכנות זדוניות כבר לא מבקשים להפעיל מאקרו

התקפות ספאם נטולות מאקרו כבר נמצאות בשימוש

במשך שנים רבות, דואר זבל עם קבצים מצורפים זדוניים היא השיטה שהוציאה לפועל 93% מהתוכנות הזדוניות[1] בשנתיים האחרונות. אם לשפוט לפי החדשות האחרונות מאת Trustwave SpiderLabs[2] חוקרים, נראה כי הפצת תוכנות זדוניות, בעיקר טרויאניות, תוכנות ריגול, Keyloggers, תולעים, ו-Ransomware, יהיו תלויים יותר בכמה קבצי דוא"ל זדוניים אנשים הולכים לפתוח. עם זאת, האקרים עומדים להציג שינוי אחד חשוב - מעתה ואילך, אנשים עשויים לקבל דואר זבל עם קבצים מצורפים זדוניים של מסמך Word, Excel או PowerPoint ללא דרישה להפעיל מאקרו תַסרִיט. אם תוכנות זדוניות קודם לכן הופעלו רק כאשר הקורבן הפוטנציאלי הפעיל מאקרו,[3] כעת הוא יופעל על ידי לחיצה כפולה על קובץ מצורף לדוא"ל.

טכניקה נטולת מאקרו כבר בשימוש

למרות שהחוקרים הצליחו לזהות אותו רק בתחילת פברואר, נראה כי טכנולוגיה נטולת מאקרו שוחררה מוקדם מדי וייתכן שכבר קורבנות פוטנציאליים קיבל אותם.

קמפיין ספאם חדש זה נטול מאקרו משתמש בקבצי Word זדוניים מפעילים זיהום בן ארבעה שלבים, המנצל את פגיעות של Office Equation Editor (CVE-2017-11882) להשגת ביצוע קוד מהמייל, ה-FTP וה-FTP של הקורבן. דפדפנים. מיקרוסופט כבר תיקנה את הפגיעות של CVE-2017-11882 בשנה שעברה, אך מערכות רבות לא קיבלו את התיקון מכל סיבה שהיא.

הטכניקה נטולת המאקרו המשמשת להפצת תוכנות זדוניות היא אינהרנטית לקובץ מצורף בפורמט .DOCX, בעוד שהמקור של דואר הזבל הוא Necurs botnet.[4] לפי Trustwave, הנושא יכול להשתנות, אבל לכולם יש קשר פיננסי. הבחינו בארבע גרסאות אפשריות:

  • הצהרת חשבון TNT
  • בקשה לציטוט
  • הודעת העברת טלקס
  • עותק מהיר לתשלום יתרה

SpiderLabs אישרה שהקובץ המצורף הזדוני עולה בקנה אחד עם כל סוגי הודעות דואר זבל נטולות מאקרו. לטענתם, קובץ ה-.DOCX המצורף נקרא בשם "receipt.docx".

שרשרת טכניקת הניצול ללא מאקרו

תהליך ההדבקה הרב-שלבי מתחיל ברגע שהקורבן הפוטנציאלי פותח את קובץ ה-DOCX. האחרון מפעיל אובייקט OLE (Object Linking and Embedding) מוטבע המכיל הפניות חיצוניות לשרתי האקרים. בדרך זו, האקרים מקבלים גישה מרחוק לאובייקטי OLE שיש להתייחס אליהם ב-document.xml.rels.

שולחי דואר זבל מנצלים את מסמכי Word (או בפורמט .DOCX) שנוצרו באמצעות Microsoft Office 2007. סוג זה של מסמכים משתמש בפורמט ה-XML הפתוח, המבוסס על טכנולוגיות ארכיון XML ו-ZIP. התוקפים מצאו את הדרך לתמרן את הטכנולוגיות הללו באופן ידני ואוטומטי. לאחר מכן, השלב השני מתחיל רק כאשר משתמש המחשב פותח את קובץ ה-.DOCX הזדוני. כאשר הקובץ נפתח, הוא יוצר את החיבור המרוחק ומוריד קובץ RTF (פורמט קובץ טקסט עשיר).

כאשר המשתמש פותח את קובץ ה-DOCX, זה גורם לגישה לקובץ מסמך מרוחק מכתובת האתר: hxxp://gamestoredownload[.]download/WS-word2017pa[.]doc. זהו למעשה קובץ RTF שמוריד ומבוצע.

כך נראית טכניקת ביצוע תוכנות זדוניות ללא מאקרו באופן סכמטי:

  • קורבן פוטנציאלי מקבל אימייל עם קובץ DOCX מצורף.
  • הוא או היא לוחצים פעמיים על הקובץ המצורף ומוריד אובייקט OLE.
  • כעת נפתח בסופו של דבר קובץ ה-Doc כביכול, שהוא למעשה RTF.
  • קובץ ה-DOC מנצל את הפגיעות CVE-2017-11882 Office Equation Editor.
  • הקוד הזדוני מריץ שורת פקודה MSHTA.
  • פקודה זו מורידה ומבצעת קובץ HTA, המכיל VBScript.
  • ה-VBScript פורק סקריפט PowerShell.
  • סקריפט Powershell מתקין לאחר מכן את התוכנה הזדונית.

שמור על מערכת ההפעלה של Windows ו-Office מעודכנת כדי להגן על עצמך מפני התקפות תוכנות זדוניות נטולות מאקרו

מומחי אבטחת סייבר עדיין לא מצאו דרך להגן על חשבונות האימייל של אנשים מפני התקפות Necurs. כנראה הגנה של מאה אחוז לא תימצא כלל. העצה החשובה ביותר היא להתרחק מהודעות דוא"ל מפוקפקות. אם לא חיכית למסמך רשמי, אבל אתה מקבל אחד משום מקום, אל תיפול לטריק הזה. חקור הודעות כאלה לאיתור שגיאות דקדוק או שגיאות הקלדה מכיוון שהרשויות הרשמיות כמעט ולא ישאירו שגיאות בהודעות הרשמיות שלהן.

בנוסף לזהירות, חשוב לשמור על עדכניות של Windows ו-Office. אלה שהשביתו את העדכונים האוטומטיים במשך זמן רב נמצאים בסיכון גבוה לזיהומים קשים של וירוסים. מערכת ותוכנות מיושנות שהותקנו עליה עשויות לכלול פגיעויות כמו CVE-2017-11882, שניתן לתקן רק על ידי התקנת העדכונים האחרונים.