Trustwave наблюдает новую спам-кампанию, использующую документы Word для доставки целевой полезной нагрузки — крадущего пароли зловреда. По словам экспертов, в данном случае распространители вредоносного ПО полагаются не на макросы Microsoft Office, а на OLE-функциональность, позволяющую запустить сложную цепочку заражения.

На настоящий момент исследователи зафиксировали несколько тем поддельных писем с вредоносными вложениями, распространяемых злоумышленниками. Такие сообщения могут быть замаскированы под выписку из банковского счета, запрос оферты, телексное уведомление или SWIFT-копию балансового платежа. По всей видимости, за этой спам-кампанией стоит одна и та же криминальная группа, которая, впрочем, может сменить шаблоны в любую минуту.

Согласно описанию Trustwave, при открытии вложения в формате .docx, содержащего встроенный OLE-объект с внешними ссылками, происходит загрузка и запуск вредоносного rtf-файла, снабженного вводящим в заблуждение расширением .doc. Анализ показал, что этот файл нацелен на эксплуатацию уязвимости CVE-2017-11882 в Office Equation Editor. В результате отработки эксплойта с удаленного сервера на машину жертвы загружается и запускается на исполнение hta-файл — с помощью командной строки MSHTA.

Этот файл содержит VBScript с обфусцированным кодом; его декодирование обнаружило скрипт PowerShell, единственным назначением которого является загрузка из внешнего источника и установка целевого PSW-зловреда. Последний, по словам экспертов, способен воровать пароли, сохраненные в браузерах, ftp-клиентах и почтовых программах. Украденные данные в итоге выгружаются на удаленный сервер злоумышленников.

Исследователи не преминули отметить, что такое обилие ресурсов и векторов атаки, используемых для заражения, — большой риск для вирусописателя. Если один из этапов загрузки откажет, вся схема развалится, как карточный домик. Примечательно, что типы файлов, задействованные в данной атаке (DOCX, RTF, HTA), редко блокируются почтовыми фильтрами и сетевыми шлюзами — в отличие от потенциально опасных скриптовых форматов вроде VBS, JScript и WSF.

Microsoft пропатчила CVE-2017-11882 еще в ноябре, однако после публикации эта уязвимость начала активно применяться в атаках. Так, из известных случаев за истекший период ею воспользовались хакерская группировка Cobalt и распространители таких зловредов, как троян TelegramRAT и многофункциональный бэкдор Zyklon.

В январе Microsoft окончательно распростилась с неудачно реализованным редактором формул сторонней разработки, выпустив патч к CVE-2018-0802, который удаляет функциональность Equation Editor 3.0 из набора офисных приложений. Вместо него рекомендуется использовать аналогичный редактор, встроенный в Office 2007 и выше, или альтернативное и более надежное стороннее приложение MathType. Пользователям, своевременно установившим упомянутые патчи от Microsoft, эксплойт CVE-2017-11882 уже не грозит.

Причиной большого количества злоупотреблений технологией OLE, наблюдаемых в последние годы, скорее всего, является результат совершенствования защиты электронной почты и роста осведомленности участников Сети о почтовых угрозах. Меры противодействия кибератакам, принимаемые IT-компаниями и провайдерами, а также информационно-просветительская работа снижают эффективность популярных способов распространения вредоносных программ по таким каналам. В итоге злоумышленникам приходится искать альтернативы, усложняющие сложность схем доставки полезной нагрузки, либо уповать на социальную инженерию.

И действительно, вредоносные макросы Microsoft Office, долго служившие верой и правдой киберкриминалу, стали реже встречаться в почтовых рассылках, хотя еще актуальны как угроза. В большинстве сетей макросы по умолчанию отключены, однако, используя элементы социальной инженерии, пользователя можно убедить активировать их вручную. В марте 2016 года Microsoft также ввела опцию блокировки доступа к макроконтенту, которую администратор сети может применить через групповые политики или в индивидуальном порядке.

Категории: Аналитика, Вредоносные программы, Спам, Уязвимости