Niezawierające makr załączniki spamu Microsoft Word infekują użytkowników złośliwym oprogramowaniem

RóżneDec 19, 2021
click fraud protection

Załączniki do dokumentów programu Word, które rozpowszechniają złośliwe oprogramowanie, nie wymagają już włączenia makr

Ataki spamowe bez makr są już w użyciu

Od wielu lat spam ze złośliwymi załącznikami jest metodą, która uruchamiała 93% złośliwego oprogramowania[1] przez ostatnie kilka lat. Sądząc po najnowszych wiadomościach Trustwave SpiderLabs[2] badacze, wydaje się, że rozpowszechnianie złośliwego oprogramowania, głównie trojana, oprogramowania szpiegującego, keyloggerów, robaków, i Ransomware, będzie dalej zależeć od tego, ile złośliwych załączników do wiadomości e-mail zostanie otwartych. Niemniej jednak hakerzy wprowadzą jedną ważną zmianę – od teraz ludzie mogą otrzymywać spam ze złośliwymi załącznikami Word, Excel lub PowerPoint bez konieczności uruchamiania makr scenariusz. Jeśli wcześniejsze złośliwe oprogramowanie zostało uruchomione tylko wtedy, gdy potencjalna ofiara włączyła Makra,[3] teraz zostanie aktywowany poprzez dwukrotne kliknięcie załącznika wiadomości e-mail.

Technika bez makro jest już w użyciu

Choć naukowcom udało się go wykryć dopiero na początku lutego, wydaje się, że Technologia pozbawiona makroinstrukcji została wypuszczona zbyt wcześniej, a potencjalne ofiary mogły już to zrobić otrzymał je.

Ta nowa kampania spamowa wolna od makr wykorzystuje złośliwe załączniki Worda, aktywuje czterostopniową infekcję, która wykorzystuje Luka Office Equation Editor (CVE-2017-11882) umożliwiająca uzyskanie wykonania kodu z poczty e-mail ofiary, FTP i przeglądarki. Microsoft załatał już lukę CVE-2017-11882 w zeszłym roku, ale wiele systemów nie otrzymało poprawki z jakichkolwiek powodów.

Technika bez makr wykorzystywana do rozprzestrzeniania szkodliwego oprogramowania jest nieodłączną częścią załącznika w formacie .DOCX, podczas gdy źródłem spamu jest botnet Necurs.[4] Według Trustwave temat może być różny, ale wszyscy mają związek finansowy. Zauważono cztery możliwe wersje:

  • ZESTAWIENIE KONTA TNT
  • Zapytanie ofertowe
  • Powiadomienie o transferze teleksu
  • SWIFT KOPIA PŁATNOŚCI SALDA

SpiderLabs zatwierdził, że złośliwy załącznik pokrywa się ze wszystkimi rodzajami wiadomości spamowych bez makr. Według nich załącznik .DOCX nosi nazwę „receipt.docx”.

Łańcuch techniki eksploatacji wolnej od makr

Wieloetapowy proces infekcji rozpoczyna się, gdy tylko potencjalna ofiara otworzy plik .DOCX. Ten ostatni wyzwala osadzony obiekt OLE (Object Linking and Embedding), który zawiera zewnętrzne odniesienia do serwerów hakerów. W ten sposób hakerzy uzyskują zdalny dostęp do obiektów OLE, do których można się odwoływać w pliku document.xml.rels.

Spamerzy wykorzystują dokumenty Word (lub w formacie .DOCX), które zostały utworzone przy użyciu pakietu Microsoft Office 2007. Ten typ dokumentów wykorzystuje format Open XML, który jest oparty na technologiach archiwów XML i ZIP. Atakujący znaleźli sposób na manipulowanie tymi technologiami zarówno ręcznie, jak i automatycznie. Następnie drugi etap rozpoczyna się dopiero wtedy, gdy użytkownik komputera otworzy złośliwy plik .DOCX. Po otwarciu pliku nawiązuje połączenie zdalne i pobiera plik RTF (rich text file format).

Gdy użytkownik otwiera plik DOCX, powoduje to dostęp do zdalnego pliku dokumentu z adresu URL: hxxp://gamestoredownload[.]download/WS-word2017pa[.]doc. W rzeczywistości jest to plik RTF, który jest pobierany i wykonywany.

Tak schematycznie wygląda technika wykonywania złośliwego oprogramowania bez makr:

  • Potencjalna ofiara otrzymuje wiadomość e-mail z załączonym plikiem .DOCX.
  • Klika dwukrotnie załącznik i pobiera obiekt OLE.
  • Teraz domniemany plik Doc, który w rzeczywistości jest RTF, w końcu się otwiera.
  • Plik DOC wykorzystuje lukę CVE-2017-11882 Office Equation Editor.
  • Złośliwy kod uruchamia wiersz poleceń MSHTA.
  • To polecenie pobiera i wykonuje plik HTA, który zawiera VBScript.
  • VBScript rozpakowuje skrypt PowerShell.
  • Skrypt Powershell następnie instaluje złośliwe oprogramowanie.

Aktualizuj system operacyjny Windows i pakiet Office, aby chronić się przed atakami złośliwego oprogramowania bez makr

Eksperci ds. cyberbezpieczeństwa nie znaleźli jeszcze sposobu na ochronę kont e-mail ludzi przed atakami Necurs. Prawdopodobnie w ogóle nie zostanie znaleziona stuprocentowa ochrona. Najważniejszą radą jest trzymanie się z dala od wątpliwych wiadomości e-mail. Jeśli nie czekałeś na oficjalny dokument, ale otrzymujesz go znikąd, nie daj się nabrać na tę sztuczkę. Zbadaj takie wiadomości pod kątem błędów gramatycznych lub literówek, ponieważ władze prawie nie pozostawią żadnych błędów w swoich oficjalnych powiadomieniach.

Oprócz ostrożności ważne jest, aby aktualizować system Windows i pakiet Office. Ci, którzy wyłączyli automatyczne aktualizacje przez długi czas, są narażeni na wysokie ryzyko poważnych infekcji wirusowych. Nieaktualny system i zainstalowane na nim oprogramowanie może zawierać luki, takie jak CVE-2017-11882, które można naprawić tylko poprzez zainstalowanie najnowszych aktualizacji.