Вкладені файли Word, які поширюють шкідливе програмне забезпечення, більше не просять увімкнути макроси
Протягом багатьох років спам-лист із шкідливими вкладеннями був методом, який виконував 93% шкідливих програм[1] за останні пару років. Судячи з останніх новин Trustwave SpiderLabs[2] дослідники, схоже, що поширення шкідливих програм, головним чином троянів, шпигунських програм, кейлоггерів, хробаків, і програми-вимагачі, залежатиме від того, скільки шкідливих вкладень електронної пошти люди збираються відкрити. Тим не менш, хакери збираються внести одну важливу зміну – відтепер люди можуть отримувати спам зі шкідливими вкладеннями документа Word, Excel або PowerPoint без необхідності запускати макроси сценарій. Якщо раніше зловмисне програмне забезпечення запускалося лише тоді, коли потенційна жертва вмикала макроси,[3] тепер його буде активовано, просто двічі клацнувши вкладення електронного листа.
Техніка без макросів уже використовується
Хоча дослідникам вдалося виявити його лише на початку лютого, схоже, що Технологія без макросів була випущена занадто раніше, і потенційні жертви вже могли це зробити отримав їх.
Ця нова спам-кампанія без макросів використовує шкідливі вкладення Word, що активують чотириетапне зараження, яке використовує Уразливість Office Equation Editor (CVE-2017-11882) для отримання виконання коду з електронної пошти жертви, FTP та браузери. Минулого року Microsoft вже виправила уразливість CVE-2017-11882, але багато систем не отримали виправлення з якихось причин.
Технологія без макросів, що використовується для поширення шкідливого програмного забезпечення, притаманна вкладенню у форматі .DOCX, а джерелом спаму є ботнет Necurs.[4] Згідно з Trustwave, тема може бути різною, але всі вони мають фінансові відносини. Було помічено чотири можливі версії:
- TNT ВИПИСКА З РАХУНКУ
- Запит цін
- Повідомлення про передачу телексу
- SWIFT КОПІЯ ДЛЯ ПЛАТІЖНОГО БАЛАНСУ
SpiderLabs підтвердив, що шкідливий вкладений файл збігається з усіма типами спам-листів без макросів. Згідно з ними, вкладений файл .DOCX називається «receipt.docx».
Ланцюжок техніки експлуатації без макросів
Багатоетапний процес зараження починається, як тільки потенційна жертва відкриває файл .DOCX. Останній запускає вбудований об’єкт OLE (Об’єкт зв’язування та вбудовування), який містить зовнішні посилання на сервери хакерів. Таким чином, хакери отримують віддалений доступ до об’єктів OLE, на які посилаються в document.xml.rels.
Спамери використовують документи Word (або у форматі .DOCX), які були створені за допомогою Microsoft Office 2007. Цей тип документів використовує Open XML Format, який базується на технологіях XML і ZIP-архівів. Зловмисники знайшли спосіб маніпулювати цими технологіями як вручну, так і автоматично. Після цього другий етап починається лише тоді, коли користувач ПК відкриває шкідливий файл .DOCX. Коли файл відкривається, він встановлює віддалене з’єднання та завантажує файл RTF (формат формату тексту).
Коли користувач відкриває файл DOCX, це викликає доступ до файлу віддаленого документа за URL-адресою: hxxp://gamestoredownload[.]download/WS-word2017pa[.]doc. Насправді це файл RTF, який завантажується та виконується.
Ось як схематично виглядає техніка виконання шкідливих програм без макросів:
- Потенційна жертва отримує електронний лист із вкладеним файлом .DOCX.
- Він або вона двічі клацає вкладений файл і завантажує об’єкт OLE.
- Тепер передбачуваний файл Doc, який насправді є RTF, зрештою відкривається.
- Файл DOC використовує уразливість CVE-2017-11882 Office Equation Editor.
- Шкідливий код запускає командний рядок MSHTA.
- Ця команда завантажує та виконує файл HTA, який містить VBScript.
- VBScript розпаковує сценарій PowerShell.
- Згодом сценарій Powershell встановлює шкідливе програмне забезпечення.
Тримайте ОС Windows і Office в актуальному стані, щоб захистити себе від атак зловмисного програмного забезпечення без макросів
Експерти з кібербезпеки ще не знайшли способу захистити облікові записи електронної пошти людей від атак Necurs. Напевно, стовідсоткового захисту взагалі не знайдеться. Найважливіша порада – триматися подалі від сумнівних повідомлень електронної пошти. Якщо ви не чекали офіційного документа, але отримали його нізвідки, не піддавайтеся на цю хитрість. Перевіряйте такі повідомлення на предмет граматичних чи друкарських помилок, тому що офіційні органи навряд чи залишать жодних помилок у своїх офіційних повідомленнях.
Окрім обережності, важливо підтримувати Windows та Office в актуальному стані. Ті, хто на тривалий час відключив автоматичне оновлення, піддаються високому ризику серйозних вірусних інфекцій. Застаріла система та програмне забезпечення, встановлене на ній, можуть мати такі вразливості, як CVE-2017-11882, які можна виправити, лише встановивши останні оновлення.