Знову відзначається зростання популяції шкідливих макросів

Шкідливе ПО, що використовує для зараження макроси Microsoft Office, існує більше десяти років. Це одна з тих примітних тактик, які провокують вендорів софта вносити зміни в свої продукти. Останнім часом в мережевому андеграунді спостерігається повернення до цієї техніки. Так, з початку поточного року Microsoft відзначає значне зростання популяції шкідливих макросів, які роздають через спам.

У минулому місяці експерти Trustwave зафіксували новий сплеск спам-розсилок, націлених на засів Банкера Dridex з використанням макросів. Зловмисники розповсюджували шкідливі XML-файли і намагалися переконати адресатів активувати макрос для запуску зловреда.

«XML-файли – це давно усталений бінарний формат для документів Office, – пояснює Карл Сиглер (Karl Sigler), менеджер Trustwave по збору інформації про інтернет-загрози. – Якщо відкрити такий документ подвійним натисканням кнопки миші, відбудеться автоматичний запуск програми Word і макросів, якщо користувач ненароком їх включив ».

Спостережувані Microsoft шкідливі розсилки також використовують елементи соціальної інженерії, щоб змусити користувача включити макрос. На багатьох підприємствах ця функція за замовчуванням відключена, дефолт був введений розробником через великі проблем з шкідливими макросами в 2000-і роки. В останні кілька років зловмисники рідко звертаються до цієї техніки, проте нині вона знову здобула популярність і застосовується не без успіху. За перший квартал Microsoft нарахувала понад 500 тис. Резидентних макрос-даунлоудеров. Найбільша кількість таких заражень було виявлено на території США і Великобританії.

«Документи з шкідливим макросом, атакуючим користувачів електронної пошти через спам, навмисно оформлені таким чином, щоб заінтригувати одержувача, – пишуть дослідники в блозі підрозділу Microsoft Malware Protection Center. – Такі теми, як «Рахунок-фактура», «Платнику федерального податку», «Повідомлення служби доставки», «Резюме», «Підтвердження добровільного внеску», легко можуть змусити користувача прочитати лист і бездумно відкрити вкладення. Він відкриє документ, включить макрос, думаючи, що коректує відображення, і, сам того не відаючи, запустить зловреда на виконання ».

При активації макрос-зловредів зазвичай приносить фінальну корисне навантаження або встановлює другий даунлоудер, який зв’язується з віддаленим сервером і завантажує троянця. Найкращим захистом від таких атак є заборона макросів за замовчуванням і інформування користувачів про ризики, пов’язані з включенням цієї функції.

Ссылка на основную публикацию