Мицрософт Ворд прилози за нежељену пошту без макроа инфицирају кориснике малвером

Прилози Ворд документа који шире злонамерни софтвер више не траже омогућавање макроа

Напади нежељене поште без макроа су већ у употреби

Дуги низ година, нежељена е-пошта са злонамерним прилозима је метод који је извршио 93% малвера[1] за последњих пар година. Судећи по најновијим вестима Трустваве СпидерЛабс[2] истраживачи, чини се да ширење злонамерног софтвера, углавном тројанаца, шпијунског софтвера, кеилоггера, црва, и Рансомваре, зависиће од тога колико ће злонамерних прилога е-поште људи отворити. Ипак, хакери ће увести једну важну промену – од сада људи могу да примају нежељену пошту са злонамерним Ворд документима, Екцел или ПоверПоинт прилозима без потребе за покретањем макроа скрипта. Ако је ранији малвер био извршен само када је потенцијална жртва омогућила макрое,[3] сада ће се активирати само двоструким кликом на прилог е-поште.

Техника без макроа је већ у употреби

Иако су истраживачи успели да га открију тек почетком фебруара, чини се да је Технологија без макроа пуштена је у продају превише раније, а потенцијалне жртве су можда већ биле примио их.

Ова нова нежељена кампања без макроа користи злонамерне Ворд прилоге за активирање инфекције у четири фазе, која искоришћава Рањивост Оффице Екуатион Едитор-а (ЦВЕ-2017-11882) за добијање извршења кода са е-поште жртве, ФТП-а и претраживачи. Мицрософт је прошле године већ закрпио ЦВЕ-2017-11882 рањивост, али многи системи нису примили закрпу из било ког разлога.

Техника без макроа која се користи за ширење злонамерног софтвера је инхерентна прилогу у формату .ДОЦКС, док је извор нежељене е-поште Нецурс ботнет.[4] Према Трустваве-у, предмет може варирати, али сви они имају финансијски однос. Уочене су четири могуће верзије:

  • ТНТ ИЗВОД
  • Захтев за понуду
  • Обавештење о преносу телекса
  • СВИФТ КОПИЈА ЗА БИЛАНС ПЛАЋАЊА

СпидерЛабс је одобрио да се злонамерни прилог поклапа са свим врстама нежељене е-поште без макроа. Према њима, .ДОЦКС прилог је назван „рецеипт.доцк“.

Ланац технике експлоатације без макроа

Вишестепени процес инфекције почиње чим потенцијална жртва отвори .ДОЦКС датотеку. Ово последње покреће уграђени ОЛЕ (Објецт Линкинг анд Ембеддинг) објекат који садржи екстерне референце на сервере хакера. На овај начин, хакери добијају даљински приступ ОЛЕ објектима који ће бити референцирани у документу доцумент.кмл.релс.

Пошиљатељи нежељене поште искоришћавају Ворд (или .ДОЦКС формат) документе који су креирани помоћу Мицрософт Оффице 2007. Ова врста докумената користи Опен КСМЛ формат, који је заснован на КСМЛ и ЗИП архивским технологијама. Нападачи су пронашли начин да манипулишу овим технологијама и ручно и аутоматски. Након тога, друга фаза почиње тек када корисник рачунара отвори злонамерну .ДОЦКС датотеку. Када се датотека отвори, она успоставља удаљену везу и преузима РТФ (формат датотеке обогаћеног текста) датотеку.

Када корисник отвори ДОЦКС датотеку, то узрокује приступ датотеци удаљеног документа са УРЛ адресе: хккп://гаместоредовнлоад[.]довнлоад/ВС-ворд2017па[.]доц. Ово је заправо РТФ датотека која се преузима и извршава.

Овако схематски изгледа техника извршавања малвера без макроа:

  • Потенцијална жртва добија е-пошту са приложеном .ДОЦКС датотеком.
  • Он или она двапут кликне на прилог и преузима ОЛЕ објекат.
  • Сада се наводна Доц датотека, која је у стварности РТФ, на крају отвара.
  • ДОЦ датотека искоришћава рањивост ЦВЕ-2017-11882 Оффице Екуатион Едитор.
  • Злонамерни код покреће командну линију МСХТА.
  • Ова команда преузима и извршава ХТА датотеку која садржи ВБСцрипт.
  • ВБСцрипт распакује ПоверСхелл скрипту.
  • Поверсхелл скрипта накнадно инсталира малвер.

Одржавајте Виндовс ОС и Оффице ажурираним да бисте се заштитили од напада малвера без макроа

Стручњаци за сајбер безбедност још нису пронашли начин да заштите налоге е-поште људи од Нецурс напада. Вероватно се стопостотна заштита уопште неће наћи. Најважнији савет је да се клоните сумњивих порука е-поште. Ако нисте чекали службени документ, али сте га добили ниоткуда, немојте наседати на овај трик. Истражите такве поруке због граматичких грешака или грешака у куцању јер званични органи тешко да ће оставити грешке у својим званичним обавештењима.

Поред опреза, важно је да Виндовс и Оффице буду ажурирани. Они који су дуго времена онемогућили аутоматско ажурирање изложени су великом ризику од тешких вирусних инфекција. Застарели систем и софтвер инсталиран на њему могу да садрже рањивости попут ЦВЕ-2017-11882, који се могу закрпити само инсталирањем најновијих ажурирања.