Word-dokumentvedlegg som sprer skadelig programvare ber ikke lenger om å aktivere makroer
I mange år har spam-e-post med ondsinnede vedlegg vært metoden som utførte 93 % av skadelig programvare[1] for de siste par årene. Ut fra de siste nyhetene av Trustwave SpiderLabs å dømme[2] forskere, ser det ut til at spredning av skadelig programvare, hovedsakelig trojanere, spionprogrammer, nøkkelloggere, ormer, og Ransomware, vil videre avhenge av hvor mange ondsinnede e-postvedlegg folk kommer til å åpne. Likevel kommer hackere til å introdusere en viktig endring – fra nå av kan folk motta spam med ondsinnede Word-dokument, Excel eller PowerPoint-vedlegg uten krav om å kjøre makroer manus. Hvis tidligere skadelig programvare ble utført bare når det potensielle offeret aktiverte makroer,[3] nå vil den aktiveres ved å dobbeltklikke på et e-postvedlegg.
Makroløs teknikk er allerede i bruk
Selv om forskere klarte å oppdage det først i begynnelsen av februar, ser det ut til at Makroløs teknologi har blitt utgitt altfor tidligere, og potensielle ofre har kanskje allerede gjort det mottok dem.
Denne nye makrofrie spamkampanjen bruker ondsinnede Word-vedlegg aktiverer fire-trinns infeksjon, som utnytter Office Equation Editor sårbarhet (CVE-2017-11882) for å få kodekjøring fra offerets e-post, FTP og nettlesere. Microsoft hadde allerede lappet CVE-2017-11882-sårbarheten i fjor, men mange systemer mottok ikke oppdateringen uansett årsak.
Den makrofrie teknikken som brukes til å spre skadelig programvare er iboende til et .DOCX-formatert vedlegg, mens opprinnelsen til spam-e-posten er Necurs botnet.[4] Ifølge Trustwave kan faget variere, men alle har et økonomisk forhold. Fire mulige versjoner har blitt lagt merke til:
- TNT REGNSKAP
- Forespørsel om kostnadsoverslag
- Varsling om telexoverføring
- RASK KOPI FOR SALDOBETALING
SpiderLabs godkjente at det ondsinnede vedlegget sammenfaller med alle typer makrofrie spam-e-poster. Ifølge dem heter .DOCX-vedlegget «receipt.docx».
Kjeden av makrofri utnyttelsesteknikk
Flertrinns infeksjonsprosessen starter så snart det potensielle offeret åpner .DOCX-filen. Sistnevnte utløser et innebygd OLE-objekt (Object Linking and Embedding) som inneholder eksterne referanser til hackers servere. På denne måten får hackere ekstern tilgang til OLE-objekter som skal refereres til i document.xml.rels.
Spammere utnytter Word-dokumentene (eller .DOCX-formaterte) som er opprettet med Microsoft Office 2007. Denne typen dokumenter bruker Open XML Format, som er basert på XML- og ZIP-arkivteknologier. Angripere fant måten å manipulere disse teknologiene både manuelt og automatisk. Etter det starter trinn to først når PC-brukeren åpner den skadelige .DOCX-filen. Når filen åpnes, oppretter den den eksterne tilkoblingen og laster ned en RTF-fil (rik tekstfilformat).
Når brukeren åpner DOCX-filen, forårsaker det tilgang til en ekstern dokumentfil fra URL-en: hxxp://gamestoredownload[.]download/WS-word2017pa[.]doc. Dette er faktisk en RTF-fil som lastes ned og kjøres.
Slik ser teknikk for utførelse av ondsinnet programvare uten makro ut skjematisk:
- Et potensielt offer får en e-post med en .DOCX-fil vedlagt.
- Han eller hun dobbeltklikker på vedlegget og laster ned et OLE-objekt.
- Nå åpnes til slutt den antatte Doc-filen, som i virkeligheten er RTF.
- DOC-filen utnytter sikkerhetsproblemet CVE-2017-11882 Office Equation Editor.
- Den ondsinnede koden kjører en MSHTA-kommandolinje.
- Denne kommandoen laster ned og kjører en HTA-fil, som inneholder VBScript.
- VBScript pakker ut et PowerShell-skript.
- Powershell-skriptet installerer deretter skadelig programvare.
Hold Windows OS og Office oppdatert for å beskytte deg mot makrofrie malwareangrep
Eksperter på nettsikkerhet har ennå ikke funnet en måte å beskytte folks e-postkontoer mot Necurs-angrep. Sannsynligvis vil man ikke finne hundre prosent beskyttelse i det hele tatt. Det viktigste rådet er å holde seg unna tvilsomme e-postmeldinger. Hvis du ikke har ventet på et offisielt dokument, men du mottar et fra ingensteds, ikke fall for dette trikset. Undersøk slike meldinger for grammatikk- eller skrivefeil fordi offisielle myndigheter neppe vil legge igjen noen feil i sine offisielle varsler.
I tillegg til forsiktighet er det viktig å holde Windows og Office oppdatert. De som har deaktivert automatiske oppdateringer i lang tid har høy risiko for alvorlige virusinfeksjoner. Utdatert system og programvare installert på det kan inneholde sårbarheter som CVE-2017-11882, som bare kan lappes ved å installere de siste oppdateringene.