В минувшем месяце Microsoft отметила активизацию спам-рассылок, нацеленных на распространение вредоносного ПО через макросы — программы, написанные на языке Visual Basic для приложений (VBA) и используемые для автоматизации типовых задач в Office.

Согласно статистике компании, до 4 декабря число таких угроз было минимальным и постоянным, однако в середине месяца этот показатель резко повысился. На пике защитные решения Microsoft совокупно показали около 8 тыс. VBA-детектов.

По умолчанию макросы в Office отключены, и злоумышленникам приходится использовать элементы социальной инженерии, чтобы заставить пользователя включить эту опцию. Их спам-письма обычно имитируют сообщение финансового характера и снабжены вредоносным вложением в формате какого-либо документа Microsoft Office. Если приманка сработает и пользователь активирует внедренный в документ макрос, пытаясь ознакомиться со «счетом» или «заказом», на его компьютер загрузится зловред.

Microsoft - рост использующих макросы угроз

Суточные показатели по использующим макросы угрозам (источник: Microsoft)

«При открытии файла Microsoft Office (в данном случае документа Word) пользователю выводится сообщение, предлагающее включить макрос, — пишут исследователи в блоге. — По умолчанию для макросов в Microsoft Office установлен параметр «Disable all macros with notification» («Отключить все макросы с уведомлением»). Запуск вредоносного кода в этом случае возможен лишь при включении макроса вручную».

На настоящий момент эксперты обнаружили две вредоносные программы, распространяемые в рамках текущей спам-кампании, — TrojanDownloader:W97/Adnel и TrojanDownloader:O97M/Tarbir. Чаще прочих Adnel и Tarbir атакуют британцев и жителей США (более и немногим менее 10 тыс. детектов соответственно), но в небольших количествах замечены также во Франции, Японии, Австралии, Индии, ЮАР, Канаде и Германии:

Microsoft - распределение вредоносных макросов по странам

Распределение макрос-зловредов по странам (источник: Microsoft).

Категории: Вредоносные программы, Главное, Спам