Вложения документов Word, которые распространяют вредоносное ПО, больше не запрашивают включение макросов
На протяжении многих лет спам с вредоносными вложениями является методом, которым запускается 93% вредоносных программ.[1] последние пару лет. Судя по последним новостям Trustwave SpiderLabs[2] исследователям кажется, что распространение вредоносных программ, в основном троянов, шпионского ПО, клавиатурных шпионов, червей, и программы-вымогатели, в дальнейшем будет зависеть от того, сколько вредоносных вложений электронной почты собираются открыть люди. Тем не менее, хакеры собираются внести одно важное изменение - теперь люди могут получать спам. с вредоносными вложениями Word Document, Excel или PowerPoint без необходимости запускать макросы сценарий. Если ранее вредоносное ПО запускалось только тогда, когда потенциальная жертва включала макросы,[3] теперь он будет активирован двойным щелчком по вложению электронного письма.
Техника без макросъемки уже используется
Хотя исследователям удалось обнаружить его только в начале февраля, похоже, что Безмакро-технология была выпущена слишком раньше, и потенциальные жертвы, возможно, уже получил их.
В этой новой кампании спама без макросов используются вредоносные вложения Word, активирующие четырехэтапное заражение, которое использует Уязвимость редактора Office Equation Editor (CVE-2017-11882) для получения выполнения кода из электронной почты жертвы, FTP и браузеры. Microsoft уже исправила уязвимость CVE-2017-11882 в прошлом году, но многие системы не получили исправление по тем или иным причинам.
Техника без макросов, используемая для распространения вредоносных программ, присуща вложению в формате .DOCX, а источником спама является ботнет Necurs.[4] Согласно Trustwave, темы могут быть разными, но все они связаны финансовыми отношениями. Были замечены четыре возможные версии:
- ВЫПИСКА СЧЕТА TNT
- Запрос коммерческого предложения
- Уведомление о переводе телексом
- SWIFT КОПИЯ ДЛЯ ОПЛАТЫ БАЛАНСА
SpiderLabs подтвердила, что вредоносное вложение совпадает со всеми типами спама без макросов. По их словам, вложение .DOCX называется «квитанция.docx».
Цепочка техники без макросъёмной эксплуатации
Многоступенчатый процесс заражения начинается, как только потенциальная жертва открывает файл .DOCX. Последний запускает встроенный объект OLE (связывание и внедрение объектов), который содержит внешние ссылки на серверы хакеров. Таким образом, хакеры получают удаленный доступ к объектам OLE, которые указаны в файле document.xml.rels.
Спамеры используют документы Word (или .DOCX), созданные с помощью Microsoft Office 2007. В документах этого типа используется формат Open XML, основанный на технологиях архивирования XML и ZIP. Злоумышленники нашли способ манипулировать этими технологиями как вручную, так и автоматически. После этого второй этап начинается только тогда, когда пользователь ПК открывает вредоносный файл .DOCX. Когда файл открывается, он устанавливает удаленное соединение и загружает файл RTF (формат файла RTF).
Когда пользователь открывает файл DOCX, он вызывает доступ к удаленному файлу документа по URL-адресу: hxxp: // gamestoredownload [.] Download / WS-word2017pa [.] Doc. На самом деле это файл RTF, который загружается и запускается.
Вот так схематично выглядит техника исполнения вредоносных программ без использования макросов:
- Потенциальная жертва получает электронное письмо с прикрепленным файлом .DOCX.
- Он или она дважды щелкает вложение и загружает объект OLE.
- Теперь в конечном итоге открывается предполагаемый файл Doc, который на самом деле является RTF.
- В файле DOC используется уязвимость CVE-2017-11882 в редакторе Office Equation Editor.
- Вредоносный код запускает командную строку MSHTA.
- Эта команда загружает и выполняет файл HTA, содержащий VBScript.
- VBScript распаковывает сценарий PowerShell.
- Сценарий Powershell впоследствии устанавливает вредоносное ПО.
Регулярно обновляйте ОС Windows и Office, чтобы защитить себя от атак без использования макросов вредоносными программами.
Эксперты по кибербезопасности еще не нашли способа защитить учетные записи электронной почты людей от атак Necurs. Наверное стопроцентной защиты вообще не найдешь. Самый важный совет - держитесь подальше от сомнительных электронных писем. Если вы не ждали официального документа, но получили его из ниоткуда, не поддавайтесь на эту уловку. Исследуйте такие сообщения на предмет грамматических ошибок или опечаток, потому что официальные органы вряд ли оставят ошибки в своих официальных уведомлениях.
Помимо осторожности, важно постоянно обновлять Windows и Office. Те, у кого давно отключены автообновления, подвергаются высокому риску заражения серьезными вирусами. Устаревшая система и установленное на ней программное обеспечение могут иметь уязвимости, такие как CVE-2017-11882, которые можно исправить только путем установки последних обновлений.