Microsoft Word-ის სპამის დანართები, რომლებიც არ შეიცავს მაკრო, აინფიცირებს მომხმარებლებს მავნე პროგრამით

MiscellaneaDec 19, 2021

Word დოკუმენტის დანართები, რომლებიც ავრცელებენ მავნე პროგრამას, აღარ ითხოვენ მაკროების ჩართვას

მაკრო ნაკლებად სპამის შეტევები უკვე გამოიყენება

მრავალი წლის განმავლობაში, სპამი ელ.წერილი მავნე დანართებით არის მეთოდი, რომელმაც შეასრულა მავნე პროგრამების 93%.[1] ბოლო ორი წლის განმავლობაში. ვიმსჯელებთ Trustwave SpiderLabs-ის უახლესი ამბებიდან[2] მკვლევარებმა, როგორც ჩანს, მავნე პროგრამების გავრცელება, ძირითადად, ტროას, ჯაშუშური პროგრამების, Keyloggers, Worms, და Ransomware, შემდგომში დამოკიდებული იქნება იმაზე, თუ რამდენი მავნე ელფოსტის დანართი გახსნას ხალხი აპირებს. მიუხედავად ამისა, ჰაკერები აპირებენ ერთი მნიშვნელოვანი ცვლილების შემოტანას – ამიერიდან ადამიანებმა შესაძლოა მიიღონ სპამი მავნე Word Document, Excel ან PowerPoint დანართებით მაკროების გაშვების მოთხოვნის გარეშე სკრიპტი. თუ ადრე მავნე პროგრამა შესრულდა მხოლოდ მაშინ, როდესაც პოტენციურმა მსხვერპლმა ჩართო მაკროები,[3] ახლა ის გააქტიურდება მხოლოდ ელ.ფოსტის დანართზე ორჯერ დაწკაპუნებით.

მაკრო-ნაკლები ტექნიკა უკვე გამოიყენება

მიუხედავად იმისა, რომ მკვლევარებმა მისი აღმოჩენა მხოლოდ თებერვლის დასაწყისში მოახერხეს, როგორც ჩანს მაკრო-ნაკლები ტექნოლოგია ძალიან ადრე გამოუშვეს და პოტენციური მსხვერპლი შესაძლოა უკვე მიიღო ისინი.

ეს ახალი მაკრო-უფასო სპამის კამპანია იყენებს Word-ის მავნე დანართებს, ააქტიურებს ოთხეტაპიან ინფექციას, რომელიც იყენებს ოფისის განტოლების რედაქტორის დაუცველობა (CVE-2017-11882), რათა მიიღოთ კოდის შესრულება მსხვერპლის ელფოსტიდან, FTP და ბრაუზერები. Microsoft-მა უკვე გაასწორა CVE-2017-11882 დაუცველობა გასულ წელს, მაგრამ ბევრმა სისტემამ არ მიიღო პატჩი რაიმე მიზეზის გამო.

მაკრო-უფასო ტექნიკა, რომელიც გამოიყენება მავნე პროგრამების გასავრცელებლად, თანდაყოლილია .DOCX ფორმატირებული დანართისთვის, ხოლო სპამის ელფოსტის საწყისი არის Necurs ბოტნეტი.[4] Trustwave-ის თანახმად, თემა შეიძლება განსხვავდებოდეს, მაგრამ ყველა მათგანს აქვს ფინანსური ურთიერთობა. შენიშნა ოთხი შესაძლო ვერსია:

  • TNT ანგარიშის ამონაწერი
  • მოთხოვნა შეთავაზებაზე
  • ტელექსის გადაცემის შეტყობინება
  • SWIFT ასლი ბალანსის გადახდისთვის

SpiderLabs-მა დაამტკიცა, რომ მავნე დანართი ემთხვევა ყველა სახის მაკრო-ნაკლებად სპამის წერილებს. მათი თქმით, .DOCX დანართი დასახელებულია, როგორც "receipt.docx".

მაკრო-უფასო ექსპლუატაციის ტექნიკის ჯაჭვი

მრავალსაფეხურიანი ინფექციის პროცესი იწყება როგორც კი პოტენციური მსხვერპლი გახსნის .DOCX ფაილს. ეს უკანასკნელი იწვევს ჩაშენებულ OLE ობიექტს (Object Linking and Embedding), რომელიც შეიცავს გარე მითითებებს ჰაკერების სერვერებზე. ამ გზით, ჰაკერები იღებენ დისტანციურ წვდომას OLE ობიექტებზე, რომლებიც მითითებულია document.xml.rels-ში.

სპამერები იყენებენ Word (ან .DOCX ფორმატირებული) დოკუმენტებს, რომლებიც შექმნილია Microsoft Office 2007-ის გამოყენებით. ამ ტიპის დოკუმენტები იყენებს ღია XML ფორმატს, რომელიც დაფუძნებულია XML და ZIP არქივის ტექნოლოგიებზე. თავდამსხმელებმა იპოვეს ამ ტექნოლოგიების მანიპულირების გზა როგორც ხელით, ასევე ავტომატურად. ამის შემდეგ, მეორე ეტაპი იწყება მხოლოდ მაშინ, როდესაც კომპიუტერის მომხმარებელი გახსნის მავნე .DOCX ფაილს. როდესაც ფაილი იხსნება, ის ამყარებს დისტანციურ კავშირს და ჩამოტვირთავს RTF (მდიდარი ტექსტური ფაილის ფორმატი) ფაილს.

როდესაც მომხმარებელი ხსნის DOCX ფაილს, ის იწვევს დისტანციური დოკუმენტის ფაილზე წვდომას URL-დან: hxxp://gamestoredownload[.]download/WS-word2017pa[.]doc. ეს არის რეალურად RTF ფაილი, რომელიც გადმოწერილი და შესრულებულია.

ასე გამოიყურება სქემატურად მაკრო-ნაკლებად მავნე პროგრამის შესრულების ტექნიკა:

  • პოტენციური მსხვერპლი იღებს ელფოსტას .DOCX ფაილით.
  • ის ორჯერ დააწკაპუნებს დანართზე და ჩამოტვირთავს OLE ობიექტს.
  • ახლა სავარაუდო Doc ფაილი, რომელიც სინამდვილეში არის RTF, საბოლოოდ იხსნება.
  • DOC ფაილი იყენებს CVE-2017-11882 Office Equation Editor დაუცველობას.
  • მავნე კოდი გადის MSHTA ბრძანების ხაზს.
  • ეს ბრძანება ჩამოტვირთავს და ახორციელებს HTA ფაილს, რომელიც შეიცავს VBScript-ს.
  • VBScript ხსნის PowerShell სკრიპტს.
  • Powershell სკრიპტი შემდგომში აყენებს მავნე პროგრამას.

განაახლეთ Windows OS და Office, რათა დაიცვათ თავი მაკრო-ნაკლები მავნე პროგრამების შეტევებისგან

კიბერუსაფრთხოების ექსპერტებმა ჯერ ვერ იპოვეს გზა, რათა დაიცვან ხალხის ელ.ფოსტის ანგარიშები Necurs-ის შეტევებისგან. ალბათ ასპროცენტიანი დაცვა საერთოდ არ მოიძებნება. ყველაზე მნიშვნელოვანი რჩევაა თავი შეიკავოთ საეჭვო ელ.წერილებისგან. თუ ოფიციალურ დოკუმენტს არ ელოდით, მაგრამ არსაიდან მიიღებთ, არ დაემორჩილოთ ამ ხრიკს. გამოიკვლიეთ ასეთი შეტყობინებები გრამატიკული ან ტექსტური შეცდომების გამო, რადგან ოფიციალური ორგანოები ძნელად დატოვებენ რაიმე შეცდომებს თავიანთ ოფიციალურ შეტყობინებებში.

სიფრთხილის გარდა, მნიშვნელოვანია Windows და Office განახლებული იყოს. მათ, ვისაც დიდი ხნის განმავლობაში გამორთული აქვს ავტომატური განახლებები, მძიმე ვირუსული ინფექციების მაღალი რისკის ქვეშ არიან. მოძველებულ სისტემასა და მასზე დაინსტალირებულ პროგრამულ უზრუნველყოფას შეიძლება ჰქონდეს ისეთი დაუცველობა, როგორიცაა CVE-2017-11882, რომლის დაყენება შესაძლებელია მხოლოდ უახლესი განახლებების დაყენებით.