Prílohy nevyžiadanej pošty Microsoft Word bez makra infikujú používateľov škodlivým softvérom

Prílohy dokumentov programu Word, ktoré šíria malvér, už nepožadujú povolenie makier

Makro-menej spamové útoky sa už používajú

Už mnoho rokov je spamový e-mail so škodlivými prílohami metódou, ktorá spúšťa 93 % malvéru[1] za poslednych par rokov. Súdiac podľa najnovších správ od Trustwave SpiderLabs[2] výskumníkov, zdá sa, že šírenie malvéru, najmä trójskych koní, spywaru, keyloggerov, červov, a Ransomware, bude ďalej závisieť od toho, koľko škodlivých e-mailových príloh ľudia otvoria. Napriek tomu sa hackeri chystajú zaviesť jednu dôležitú zmenu – odteraz môžu ľudia dostávať spam so škodlivými prílohami Word Document, Excel alebo PowerPoint bez požiadavky na spustenie makier skript. Ak sa skorší malvér spustil iba vtedy, keď potenciálna obeť povolila makrá,[3] teraz sa aktivuje jednoduchým dvojitým kliknutím na prílohu e-mailu.

Technika bez makra sa už používa

Hoci sa to výskumníkom podarilo odhaliť až začiatkom februára, zdá sa, že o Technológia bez makro bola uvoľnená príliš skôr a potenciálne obete už mohli byť prijal ich.

Táto nová kampaň proti spamu bez makra využíva škodlivé prílohy Wordu na aktiváciu štvorstupňovej infekcie, ktorá využíva Zraniteľnosť Office Equation Editor (CVE-2017-11882) na získanie spustenia kódu z e-mailu, FTP a prehliadačov. Spoločnosť Microsoft už minulý rok opravila chybu zabezpečenia CVE-2017-11882, ale mnohé systémy túto opravu z akýchkoľvek dôvodov nedostali.

Technika bez makra, ktorá sa používa na šírenie škodlivého softvéru, je neoddeliteľnou súčasťou prílohy vo formáte .DOCX, zatiaľ čo pôvodom nevyžiadanej pošty je botnet Necurs.[4] Podľa Trustwave sa predmet môže líšiť, ale všetky majú finančný vzťah. Boli zaznamenané štyri možné verzie:

  • VÝPIS Z ÚČTU TNT
  • Žiadosť o cenovú ponuku
  • Oznámenie o prenose telexu
  • SWIFTOVÁ KÓPIA NA PLATBU Zostatku

SpiderLabs schválili, že škodlivá príloha sa zhoduje so všetkými typmi nevyžiadaných e-mailov bez makra. Podľa nich je príloha .DOCX pomenovaná ako „receipt.docx“.

Reťazec techniky využívania bez makra

Viacstupňový proces infekcie sa spustí hneď, ako potenciálna obeť otvorí súbor .DOCX. Ten spustí vložený objekt OLE (Object Linking and Embedding), ktorý obsahuje externé odkazy na hackerské servery. Týmto spôsobom hackeri získajú vzdialený prístup k objektom OLE, na ktoré sa má odkazovať v súbore document.xml.rels.

Spameri využívajú dokumenty programu Word (alebo vo formáte .DOCX), ktoré boli vytvorené pomocou balíka Microsoft Office 2007. Tento typ dokumentov používa formát Open XML, ktorý je založený na archívnych technológiách XML a ZIP. Útočníci našli spôsob, ako s týmito technológiami manipulovať manuálne aj automaticky. Potom sa druhá fáza spustí až vtedy, keď používateľ počítača otvorí škodlivý súbor .DOCX. Keď sa súbor otvorí, vytvorí sa vzdialené pripojenie a stiahne súbor RTF (formát súboru RTF).

Keď používateľ otvorí súbor DOCX, spôsobí prístup k vzdialenému súboru dokumentu z adresy URL: hxxp://gamestoredownload[.]download/WS-word2017pa[.]doc. Toto je vlastne súbor RTF, ktorý sa stiahne a spustí.

Takto schematicky vyzerá technika spúšťania škodlivého softvéru bez makra:

  • Potenciálna obeť dostane e-mail s priloženým súborom .DOCX.
  • Dvakrát klikne na prílohu a stiahne objekt OLE.
  • Teraz sa údajne otvorí súbor Doc, ktorý je v skutočnosti RTF.
  • Súbor DOC využíva chybu zabezpečenia CVE-2017-11882 Office Equation Editor.
  • Škodlivý kód spustí príkazový riadok MSHTA.
  • Tento príkaz stiahne a spustí súbor HTA, ktorý obsahuje VBScript.
  • VBScript rozbalí skript PowerShell.
  • Skript Powershell následne nainštaluje malvér.

Udržujte operačný systém Windows a balík Office v aktualizovanom stave, aby ste sa chránili pred útokmi škodlivého softvéru bez makra

Odborníci na kybernetickú bezpečnosť zatiaľ nenašli spôsob, ako chrániť e-mailové účty ľudí pred útokmi Necurs. Stopercentná ochrana sa zrejme vôbec nenájde. Najdôležitejšou radou je vyhýbať sa pochybným e-mailovým správam. Ak ste nečakali na oficiálny dokument, no z ničoho nič ho dostanete, nepodľahnite tomuto triku. Preskúmajte takéto správy, či neobsahujú gramatické alebo preklepové chyby, pretože oficiálne úrady vo svojich oficiálnych oznámeniach len ťažko zanechajú nejaké chyby.

Okrem opatrnosti je dôležité udržiavať systém Windows a Office v aktualizovanom stave. Tí, ktorí majú vypnuté automatické aktualizácie na dlhú dobu, sú vystavení vysokému riziku závažných vírusových infekcií. Zastaraný systém a nainštalovaný softvér môžu obsahovať chyby zabezpečenia, ako je CVE-2017-11882, ktoré je možné opraviť iba inštaláciou najnovších aktualizácií.