Macroloze Microsoft Word-spambijlagen infecteren gebruikers met malware

DiversenDec 19, 2021
click fraud protection

Word-documentbijlagen die malware verspreiden, vragen niet langer om macro's in te schakelen

Spamaanvallen zonder macro's zijn al in gebruik

Jarenlang is spam-e-mail met kwaadaardige bijlagen de methode geweest die 93% van de malware uitvoerde[1] voor de laatste paar jaar. Afgaande op het laatste nieuws van Trustwave SpiderLabs[2] onderzoekers, lijkt het erop dat de verspreiding van malware, voornamelijk Trojaanse paarden, spyware, keyloggers, wormen, en Ransomware, zal verder afhangen van hoeveel kwaadaardige e-mailbijlagen mensen gaan openen. Toch gaan hackers één belangrijke verandering doorvoeren: vanaf nu kunnen mensen spam ontvangen met schadelijke Word-document-, Excel- of PowerPoint-bijlagen zonder dat u een macro hoeft uit te voeren script. Als eerdere malware alleen werd uitgevoerd toen het potentiële slachtoffer macro's inschakelde,[3] nu wordt het geactiveerd door gewoon te dubbelklikken op een e-mailbijlage.

Techniek zonder macro is al in gebruik

Hoewel onderzoekers het pas begin februari konden detecteren, lijkt het erop dat de Macroloze technologie is veel te eerder uitgebracht en potentiële slachtoffers hebben dat misschien al gedaan ontving ze.

Deze nieuwe macro-vrije spamcampagne maakt gebruik van kwaadaardige Word-bijlagen en activeert een infectie in vier fasen, die misbruik maakt van de Kwetsbaarheid in Office Equation Editor (CVE-2017-11882) om uitvoering van code te verkrijgen via de e-mail, FTP en browsers. Microsoft had vorig jaar de kwetsbaarheid CVE-2017-11882 al gepatcht, maar veel systemen hebben de patch om wat voor reden dan ook niet ontvangen.

De macro-vrije techniek die wordt gebruikt om malware te verspreiden, is inherent aan een .DOCX-geformatteerde bijlage, terwijl de oorsprong van de spam-e-mail het Necurs-botnet is.[4] Volgens Trustwave kan het onderwerp verschillen, maar hebben ze allemaal een financiële relatie. Er zijn vier mogelijke versies opgemerkt:

  • TNT REKENING REKENING
  • Offerte aanvragen
  • Telex-overdrachtsmelding
  • SWIFT-KOPIE VOOR EVENWICHTBETALING

SpiderLabs heeft goedgekeurd dat de kwaadaardige bijlage samenvalt met alle soorten spam-e-mails zonder macro's. Volgens hen wordt de .DOCX-bijlage genoemd als "receipt.docx."

De keten van macro-vrije exploitatietechniek

Het infectieproces in meerdere fasen begint zodra het potentiële slachtoffer het .DOCX-bestand opent. De laatste activeert een ingebed OLE-object (Object Linking and Embedding) dat externe verwijzingen naar hackersservers bevat. Op deze manier krijgen hackers externe toegang tot OLE-objecten waarnaar moet worden verwezen in document.xml.rels.

Spammers maken misbruik van de Word (of .DOCX-geformatteerde) documenten die zijn gemaakt met Microsoft Office 2007. Dit type documenten maakt gebruik van het Open XML-formaat, dat is gebaseerd op XML- en ZIP-archieftechnologieën. Aanvallers hebben de manier gevonden om deze technologieën zowel handmatig als automatisch te manipuleren. Daarna begint de tweede fase alleen wanneer de pc-gebruiker het schadelijke .DOCX-bestand opent. Wanneer het bestand wordt geopend, wordt de externe verbinding tot stand gebracht en wordt een RTF-bestand (Rich Text File Format) gedownload.

Wanneer de gebruiker het DOCX-bestand opent, wordt een extern documentbestand geopend via de URL: hxxp://gamestoredownload[.]download/WS-word2017pa[.]doc. Dit is eigenlijk een RTF-bestand dat wordt gedownload en uitgevoerd.

Zo ziet de Macro-less malware-uitvoeringstechniek er schematisch uit:

  • Een potentieel slachtoffer krijgt een e-mail met een .DOCX-bestand als bijlage.
  • Hij of zij dubbelklikt op de bijlage en downloadt een OLE-object.
  • Nu wordt het veronderstelde Doc-bestand, dat in werkelijkheid RTF is, uiteindelijk geopend.
  • Het DOC-bestand maakt misbruik van de CVE-2017-11882 Office Equation Editor-kwetsbaarheid.
  • De kwaadaardige code voert een MSHTA-opdrachtregel uit.
  • Deze opdracht downloadt en voert een HTA-bestand uit dat VBScript bevat.
  • De VBScript pakt een PowerShell-script uit.
  • Powershell-script installeert vervolgens de malware.

Houd Windows OS en Office up-to-date om uzelf te beschermen tegen malware-aanvallen zonder macro's

Cybersecurity-experts hebben nog geen manier gevonden om de e-mailaccounts van mensen te beschermen tegen Necurs-aanvallen. Waarschijnlijk zal honderd procent bescherming helemaal niet worden gevonden. Het belangrijkste advies is om uit de buurt te blijven van twijfelachtige e-mailberichten. Als je niet hebt gewacht op een officieel document, maar je ontvangt er een uit het niets, trap dan niet in deze truc. Onderzoek dergelijke berichten op grammaticale of typefouten, want officiële autoriteiten zullen nauwelijks fouten achterlaten in hun officiële kennisgevingen.

Naast zorgvuldigheid is het belangrijk om Windows en Office up-to-date te houden. Degenen die auto-updates lange tijd hebben uitgeschakeld, lopen een hoog risico op ernstige virusinfecties. Verouderde systemen en software die erop zijn geïnstalleerd, kunnen kwetsbaarheden bevatten zoals CVE-2017-11882, die alleen kunnen worden gepatcht door de nieuwste updates te installeren.