Word-dokumentbilagor som sprider skadlig programvara ber inte längre om att aktivera makron
Under många år var skräppost med skadliga bilagor metoden som exekverade 93 % av skadlig programvara[1] för de senaste åren. Att döma av de senaste nyheterna från Trustwave SpiderLabs[2] forskare, verkar det som spridningen av skadlig programvara, främst trojaner, spionprogram, keyloggers, maskar, och Ransomware, kommer vidare att bero på hur många skadliga e-postbilagor människor kommer att öppna. Ändå kommer hackare att införa en viktig förändring – från och med nu kan människor få skräppost med skadliga Word-dokument, Excel eller PowerPoint-bilagor utan krav på att köra ett makron manus. Om tidigare skadlig programvara kördes endast när det potentiella offret aktiverade makron,[3] nu kommer den att aktiveras genom att bara dubbelklicka på en e-postbilaga.
Makrolös teknik används redan
Även om forskare lyckades upptäcka det först i början av februari, verkar det som om Makrolös teknik har släppts alldeles för tidigare och potentiella offer kanske redan har gjort det tagit emot dem.
Denna nya makrofria skräppostkampanj använder skadliga Word-bilagor aktiverar infektion i fyra steg, vilket utnyttjar Office Equation Editor sårbarhet (CVE-2017-11882) för att få kodexekvering från offrets e-post, FTP och webbläsare. Microsoft hade redan patchat CVE-2017-11882 sårbarheten förra året, men många system fick inte patchen av någon anledning.
Den makrofria tekniken som används för att sprida skadlig programvara är inneboende i en .DOCX-formaterad bilaga, medan ursprunget till skräppostmeddelandet är Necurs botnet.[4] Enligt Trustwave kan ämnet variera, men alla har en ekonomisk relation. Fyra möjliga versioner har uppmärksammats:
- TNT REDOVISNING
- Offertförfrågan
- Avisering om telexöverföring
- SWIFT KOPIERA FÖR SALDOBETALNING
SpiderLabs godkände att den skadliga bilagan sammanfaller med alla typer av skräppost utan makro. Enligt dem heter .DOCX-bilagan "receipt.docx."
Kedjan av makrofri utnyttjandeteknik
Infektionen i flera steg startar så snart det potentiella offret öppnar .DOCX-filen. Det senare triggar ett inbäddat OLE-objekt (Object Linking and Embedding) som innehåller externa referenser till hackers servrar. På så sätt får hackare fjärråtkomst till OLE-objekt som ska refereras till i document.xml.rels.
Spammare utnyttjar Word-dokument (eller .DOCX-formaterade) som har skapats med Microsoft Office 2007. Den här typen av dokument använder Open XML-formatet, som är baserat på XML- och ZIP-arkivteknologier. Angripare hittade sättet att manipulera dessa tekniker både manuellt och automatiskt. Därefter startar steg två först när datorns användare öppnar den skadliga .DOCX-filen. När filen öppnas upprättar den fjärranslutningen och laddar ner en RTF-fil (rich text file format).
När användaren öppnar DOCX-filen gör det att en fjärrdokumentfil nås från URL: en: hxxp://gamestoredownload[.]download/WS-word2017pa[.]doc. Detta är faktiskt en RTF-fil som laddas ner och körs.
Så här ser tekniken för exekvering av skadlig programvara utan makro ut schematiskt:
- Ett potentiellt offer får ett e-postmeddelande med en .DOCX-fil bifogad.
- Han eller hon dubbelklickar på bilagan och laddar ner ett OLE-objekt.
- Nu öppnas så småningom den förmodade Doc-filen, som i verkligheten är RTF.
- DOC-filen utnyttjar sårbarheten CVE-2017-11882 Office Equation Editor.
- Den skadliga koden kör en MSHTA-kommandorad.
- Detta kommando laddar ner och kör en HTA-fil som innehåller VBScript.
- VBScript packar upp ett PowerShell-skript.
- Powershell-skriptet installerar sedan skadlig programvara.
Håll Windows OS och Office uppdaterade för att skydda dig mot skadliga attacker utan makro
Cybersäkerhetsexperter har ännu inte hittat ett sätt att skydda människors e-postkonton från Necurs-attacker. Förmodligen kommer ett hundraprocentigt skydd inte att finnas alls. Det viktigaste rådet är att hålla sig borta från tveksamma e-postmeddelanden. Om du inte har väntat på ett officiellt dokument, men du får ett från ingenstans, fall inte för det här tricket. Undersök sådana meddelanden för grammatik eller stavfel eftersom officiella myndigheter knappast kommer att lämna några misstag i sina officiella meddelanden.
Förutom noggrannhet är det viktigt att hålla Windows och Office uppdaterade. De som har inaktiverat automatiska uppdateringar under en längre tid löper stor risk för allvarliga virusinfektioner. Föråldrade system och programvara installerad på det kan innehålla sårbarheter som CVE-2017-11882, som bara kan korrigeras genom att installera de senaste uppdateringarna.