Atașamentele documentelor Word care răspândesc programe malware nu mai solicită activarea Macro-urilor
Timp de mulți ani, e-mailul spam cu atașamente rău intenționate este metoda care a executat 93% din malware[1] pentru ultimii doi ani. Judecând după cele mai recente știri de la Trustwave SpiderLabs[2] cercetătorilor, se pare că diseminarea de programe malware, în principal troiene, spyware, keylogger, viermi, și Ransomware, va depinde în continuare de câte atașamente de e-mail rău intenționate vor deschide oamenii. Cu toate acestea, hackerii vor introduce o schimbare importantă - de acum înainte, oamenii pot primi spam cu atașamente documente Word, Excel sau PowerPoint rău intenționate, fără a fi necesară rularea unui Macro-uri scenariu. Dacă programele malware anterioare au fost executate numai atunci când potențiala victimă a activat macrocomenzi,[3] acum va fi activat doar făcând dublu clic pe un atașament de e-mail.
Tehnica fără macro este deja utilizată
Deși cercetătorii au reușit să o detecteze abia la începutul lunii februarie, se pare că Tehnologia fără macro a fost lansată mult prea devreme și posibilele victime ar putea fi deja făcute le-a primit.
Această nouă campanie de spam fără macro-uri folosește atașamente Word rău intenționate și activează infecția în patru etape, care exploatează Vulnerabilitatea Office Equation Editor (CVE-2017-11882) pentru a obține execuția codului din e-mailul victimei, FTP și browsere. Microsoft a corectat deja vulnerabilitatea CVE-2017-11882 anul trecut, dar multe sisteme nu au primit patch-ul din orice motiv.
Tehnica fără macro folosită pentru a răspândi malware este inerentă unui atașament formatat .DOCX, în timp ce originea e-mailului spam este botnetul Necurs.[4] Potrivit Trustwave, subiectul poate varia, dar toți au o relație financiară. Au fost observate patru versiuni posibile:
- EXTRACT DE CONT TNT
- Cerere de ofertă
- Notificare de transfer telex
- COPIE SWIFT PENTRU PLATA SOLDANTULUI
SpiderLabs a aprobat că atașamentul rău intenționat coincide cu toate tipurile de e-mailuri spam fără macro. Potrivit acestora, atașamentul .DOCX este numit „receipt.docx”.
Lanțul tehnicii de exploatare Macro-free
Procesul de infecție în mai multe etape începe de îndată ce potențiala victimă deschide fișierul .DOCX. Acesta din urmă declanșează un obiect OLE (Object Linking and Embedding) încorporat care conține referințe externe la serverele hackerilor. În acest fel, hackerii obțin acces de la distanță la obiectele OLE pentru a fi referite în document.xml.rels.
Spammerii exploatează documentele Word (sau formatate .DOCX) care au fost create folosind Microsoft Office 2007. Acest tip de documente utilizează formatul Open XML, care se bazează pe tehnologiile de arhivă XML și ZIP. Atacatorii au găsit modalitatea de a manipula aceste tehnologii atât manual, cât și automat. După aceea, etapa a doua începe numai când utilizatorul PC-ului deschide fișierul rău intenționat .DOCX. Când fișierul este deschis, acesta stabilește conexiunea la distanță și descarcă un fișier RTF (format de fișier text îmbogățit).
Când utilizatorul deschide fișierul DOCX, determină accesarea unui fișier document de la distanță de la adresa URL: hxxp://gamestoredownload[.]download/WS-word2017pa[.]doc. Acesta este de fapt un fișier RTF care este descărcat și executat.
Așa arată schematic tehnica de execuție a malware-ului fără macro:
- O posibilă victimă primește un e-mail cu un fișier .DOCX atașat.
- El sau ea face dublu clic pe atașament și descarcă un obiect OLE.
- Acum, presupusul fișier Doc, care este în realitate RTF, se deschide în cele din urmă.
- Fișierul DOC exploatează vulnerabilitatea CVE-2017-11882 Office Equation Editor.
- Codul rău intenționat rulează o linie de comandă MSHTA.
- Această comandă descarcă și execută un fișier HTA, care conține VBScript.
- VBScript despachetează un script PowerShell.
- Scriptul Powershell instalează ulterior malware-ul.
Păstrați sistemul de operare Windows și Office la zi pentru a vă proteja de atacurile malware fără macro-uri
Experții în securitate cibernetică nu au găsit încă o modalitate de a proteja conturile de e-mail ale oamenilor de atacurile Necurs. Probabil că nu se va găsi deloc protecție sută la sută. Cel mai important sfat este să stai departe de mesajele de e-mail îndoielnice. Dacă nu ați așteptat un document oficial, dar ați primit unul din senin, nu vă lăsați cu acest truc. Investigați astfel de mesaje pentru greșeli gramaticale sau greșeli de scriere, deoarece autoritățile oficiale cu greu vor lăsa greșeli în notificările lor oficiale.
Pe lângă atenție, este important să păstrați Windows și Office la zi. Cei care au dezactivat actualizările automate pentru o lungă perioadă de timp sunt expuși unui risc ridicat de infecții severe cu virus. Sistemul învechit și software-ul instalat pe acesta pot prezenta vulnerabilități precum CVE-2017-11882, care pot fi corectate numai prin instalarea celor mai recente actualizări.