Давно забытые макросы для MS Office дали о себе знать, когда группа киберпреступников воспользовалась ими для сокрытия вредоносного кода.

Недавно Microsoft отметила рост числа использований макросов в хакерских нападениях, достигший пика в середине декабря. Эта информация была подтверждена специалистами Trustwave, которые сегодня сообщили о том, что наблюдают волны спам-рассылок в Соединенном Королевстве, использующих вложения для доставки на целевые машины трояна Dridex.

Dridex — это потомок Cridex, аналогичный банкерам семейства GameOver Zeus, которые на протяжении нескольких лет приносили хакерам немалую прибыль. Он использует архитектуру peer-to-peer для распространения команд и отправки хозяевам украденного, что позволяет ему обходиться без централизованного управления. Архитектура P2P и техника генерирования доменов по алгоритму затрудняют попытки ликвидации ботнетов, продлевая время их жизни.

Хотя Dridex не сильно отличается от других банковских троянов — он похищает идентификаторы онлайн-банкинга и содержит конфигурационные файлы, позволяющие имитировать вход на сайты финансовых структур, — этому трояну на удивление долго (неделями) удается успешно перемещаться в интернет-сегменте Соединенного Королевства, несмотря на то что Microsoft по умолчанию отключила использование макросов. Успешность Dridex основана на использовании элементов социального инжиниринга, которые убеждают пользователей открыть и выполнить вредоносные макросы. К тому же вредоносное вложение, используемое в спам-рассылках, содержит подробную инструкцию о том, как включить макросы.

Специалисты Trustwave заметили, что вредоносная кампания, нацеленная на клиентов банков Соединенного Королевства, маскирует спам под уведомления популярных компаний, расположенных либо активно работающих в Соединенном Королевстве. Отдельные спам-рассылки с вредоносными макросами начались в октябре и продолжались до середины декабря. Сообщения содержали вредоносные вложения, выдаваемые за счета от ряда источников, включая транспортные компании, ритейлеров, производителей софта, финансовые структуры и т.п. «Вложениями являлись документы MS Word и Excel, содержащие обфусцированный макрос, который загружает Dridex с удаленного сервера», — заявил эксперт по безопасности Зив Мейдор (Ziv Mador) из Trustwave.

«Некоторые пользователи недостаточно осторожны и открывают вложения в нежданные письма, а некоторые делают следующий шаг и включают макросы», — добавил он.

Хакеры идут на ряд ухищрений, чтобы спрятать вредоносный код и уберечь его от средств анализа и защиты.

«Макросы можно спрятать внутри документа множеством способов, — пишет Мейдор. — Их было бы легко обнаружить, если бы не различные уловки, которые мы находили много раз».

Как выяснили сотрудники Trustwave в ходе анализа, строки, указывающие расположение папки загрузок, имя вредоносного файла и URL для загрузки, были обфусцированы посредством их конвертации из текстового в шестнадцатеричный формат.

Для того чтобы сильнее запутать средства анализа и обнаружения, хакеры ввели еще один уровень маскировки, развернув строки в шестнадцатеричном представлении задом наперед или же подвергнув их строгой дизъюнкции с использованием заранее заготовленного ключа, сообщают специалисты Trustwave.

Категории: Вредоносные программы, Спам