Майнинговые Java-скрипты для добычи Monero могут выполняться внутри документов Word. Это стало возможно благодаря новой функции, появившейся в последних версиях продуктов Microsoft Office. Она позволяет добавлять в текст видео при помощи кода вставки iframe. Сам файл при этом не становится тяжелее, так как просмотр осуществляется онлайн.

Проблему заметил исследователь из израильской компании Votiro Амит Дори (Amit Dori). Он пишет, что видеоплеер на самом деле является замаскированным браузером Internet Explorer, который действует в автономном режиме. Кроме того, Word позволяет вставлять ссылки на любой сайт в Интернете, даже если его нет в белом списке. Мошенник может разместить видео в своем собственном домене, добавив к нему при этом Java-скрипт для майнинга. Стоит пользователю нажать на воспроизведение, как криптоджекер начинает добывать Monero, паразитируя на мощности его процессора.

Однако издание Bleeping Computer считает, что такой сценарий крайне маловероятен. «Любой киберпреступник, который попытается развернуть такую кампанию, будет высмеян своими же товарищами-аферистами, — поясняет автор статьи Каталин Чимпану (Catalin Cimpanu). — Всё потому, что майнинг через браузер финансово оправдывает себя только в случае, если пользователь не отключает плеер долгое время. По словам Дори, это решаемо при помощи длинных видео или плавных переходов от одного ролика к другому на ту же тему, но для того, чтобы получить прибыль, мошеннику придется убедить тысячи пользователей ежедневно открывать документы Word».

По мнению Чимпану, гораздо эффективнее использовать для добычи криптовалюты стриминговые сервисы, где посетители задерживаются надолго. Самыми выгодными в этом отношении являются ресурсы, на которые пираты выкладывают фильмы и сериалы для онлайн-просмотра, порносайты, а также игровые порталы.

Тем не менее обнаруженная Дори уязвимость может быть использована и для других целей. Например, ничто не мешает злоумышленникам встраивать в плеер Word фишинговые скрипты. Фрейм Internet Explorer позволяет легко извлекать нужную информацию у ничего не подозревающих пользователей. В частности, мошенники могут поставить ограничение на просмотр для тех, кто не прошел процедуру аутентификации и не указал свои личные данные.

Функция онлайн-видео есть и в других продуктах Microsoft Office, например в PowerPoint и OneNote, однако там она более безопасна, так как разрешает доступ только к определенным доменам.

В личной беседе с автором Bleeping Computer Дори сказал, что уведомил Microsoft о проблеме, однако корпорация не считает ее брешью в системе безопасности. Поэтому специалисты рекомендуют быть бдительными при работе с документами Word, содержащими видео, и всегда устанавливать свежие обновления, в том числе и браузера Internet Explorer.

Приложение Microsoft Word и ранее использовалось мошенниками для распространения вредоносных скриптов. Так, в феврале 2018 года была зафиксирована кампания, в которой заражение происходило через OLE-функциональность продуктов Microsoft. Также популярным проводником для зловредов являются макросы Word.

Категории: Аналитика, Уязвимости