В последние годы наблюдается возврат к использованию макрокоманд Office для проведения кибератак, а точнее, для распространения вредоносного ПО. Вероятнее всего, злоумышленники будут и впредь использовать этот вектор атаки — по крайней мере, до тех пор, пока он не утратит своей эффективности. Тем не менее новое исследование показало, что распространители зловредов нашли в арсенале Windows достойную альтернативу.

Как обнаружили исследователи из Microsoft, злоумышленники начали раздавать вредоносный код через OLE-объекты или контент, внедренные в документ вместе с хорошо отформатированным текстом и изображениями. Дело в том, что технология OLE облегчает внедрение контента, изображений, текста из других источников (приложений). Если пользователю нужно отредактировать внедренные данные, Windows запускает приложение-источник и загружает внедренный контент.

В данном случае привлекательное оформление призвано спровоцировать активацию зловреда пользователем — кликом по иконке скрипта или нажатием кнопки Open («Открыть») в диалоговом окне, выводимом Windows при взаимодействии с OLE-объектом.

В прошлом месяце исследователи обнаружили вредоносные документы Word, использующие скрипты Visual Basic и JavaScript. При попытке открыть такой документ пользователя просят включить режим редактирования и «разблокировать контент» двойным щелчком по иконке, «чтобы доказать, что вы — не робот». Этот элемент социальной инженерии, видимо, призван усилить иллюзию легитимности «защищенного» документа.

«Важно отметить, что для исполнения вредоносной нагрузки в данном случае необходимо участие и согласие пользователя, — пишет в блоге Microsoft Алден Порнасдоро (Alden Pornasdoro). — Если тот не разрешает активацию объекта и не кликает по нему, код не будет запущен, и заражения не произойдет. То же можно сказать о спам-письмах, подозрительных сайтах и непроверенных приложениях. Не ходите по ссылкам, не активируйте контент, не запускайте программы, если к ним нет полного доверия и нельзя подтвердить подлинность источника».

Тестирование показало, что отработка внедренного в документ скрипта влечет загрузку бинарного кода, способного обходить защиту. Он, в свою очередь, загружает на машину жертвы вариант вымогателя Cerber.

Использование технологии OLE для проведения атак — не новость, Microsoft уже доводилось патчить уязвимости, в том числе нулевого дня, позволявшие удаленно исполнить код с помощью специально созданного OLE-объекта. Поэтому неудивительно, что распространители зловредов решили для разнообразия прибегнуть к OLE, коль скоро другой механизм Microsoft — макросы — до сих пор исправно им служит.

Microsoft зафиксировала рост популярности макрос-угроз полтора года назад, и, несмотря на почтенный возраст таких злоупотреблений, они до сих пор эффективны. В минувшем мае исследователи обнаружили, что эта техника доставки зловредов вышла на новый уровень: атакующие начали сохранять команды в имени макрос-кнопки во избежание детектирования.

Разработчик подчеркивает, что основное оружие против макрос- и OLE-атак — самообразование, но можно также воспользоваться настройками Office. Активацию OLE-пакетов можно предотвратить, изменив ключ реестра в Office 2007–2016 по аналогии с новой функцией блокировки макросов в Office 2016. Последняя применяется через групповые политики из панели администратора и позволяет ограничить использование макросов лишь доверенными рабочими потоками.

Категории: Аналитика, Вредоносные программы