С недавних пор распространители банковского троянца Dridex взяли на вооружение макросы Microsoft Office и вначале часто использовали документы Excel как приманку, чтобы вынудить получателя вредоносного письма загрузить зловреда. Хотя Microsoft по умолчанию отключила использование макросов еще в 2007 году, злоумышленники продолжают эксплуатировать эту возможность и на сей раз остановили свой выбор на XML-формате.

За несколько мартовских дней в ловушки Trustwave попало несколько сот спам-сообщений, использующих элементы социальной инженерии с целью убедить получателя, что вредоносное XML-вложение — вполне безобидный текстовый файл. Во всех случаях вредоносные письма были оформлены как извещение о платеже, а вложение на самом деле представляло собой документ Microsoft Word с вредоносным макросом, подвергнутый сжатию и шифрованию по base64, а затем сохраненный в XML-формате.

«XML-файлы — это давно устоявшийся бинарный формат для документов Office, — поясняет Карл Сиглер (Karl Sigler), менеджер Trustwave по сбору информации об интернет-угрозах. — Если в данном случае открыть его двойным нажатием кнопки мыши, произойдет автоматический запуск приложения Word и макросов, если пользователь ненароком их включил».

Для большей надежности злоумышленники внедрили также функцию всплывающего окна с инструкциями по включению макросов Office — якобы для обеспечения корректного отображения «отчета о платеже» или для пущей безопасности. «Что в действительности приводит к обратному эффекту, — добавил Сиглер. — На деле все не так сложно, как кажется. Злоумышленники рассчитывают на слепое доверие пользователя к XML-файлам или на его плохое знакомство с этим расширением».

Если пользователь поддался на приманку и запустил даунлоудер, загружающий Dridex, итоговый зловред выполняет функции обычного банковского троянца. Он фиксирует заход жертвы в систему онлайн-банкинга и осуществляет инъекцию в html-код веб-сайта, чтобы украсть ключи к банковскому счету.

По словам Сиглера, им впервые встречается XML-документ в качестве приманки. «В крупных организациях местным администраторам иногда дозволено включать макросы, — комментирует Сиглер. — Некоторые широко пользуются этой возможностью, но скорее как исключение, а не правило. В большинстве случаев используются дефолтные настройки. Трудно сказать, почему в данном случае злоумышленники отдали предпочтение XML. Может быть, они ищут новый вектор для атак, так как поддельные документы Excel оказались малоэффективными. Возможно также, что потенциальные жертвы не готовы включать макросы по их подсказке и атакующие просто ищут способ повысить отклик».

Банкер Dridex является преемником Cridex, некоторые эксперты относят его к тому же семейству, что и GameOver/ZeuS. Последний успешно использовался киберкриминалом на протяжении нескольких лет в разных мошеннических схемах. Последняя крупная спам-кампания, нацеленная на распространение Dridex, была ориентирована на клиентов британских банков. Отдельные всплески спама с вредоносными макросами были замечены еще в минувшем октябре; поддельные спам-письма, имитирующие извещение о платежах от компаний разного профиля, распространялись солидным тиражом вплоть до середины декабря.

Категории: Вредоносные программы, Спам