Макросы снова опасны, предупреждают исследователи

08.01.2015 | 00:35 Экономика

Злоумышленники обходят защиту от макросов методами социальной инженерии и устанавливают вредоносные программы

За последние несколько месяцев различные группы злоумышленников распространяли вредоносное ПО через документы Microsoft Office, содержащие вредоносные макросы, возрождая технику, которая вышла из моды более десяти лет назад.

Макросы — скрипты, которые содержат команды для автоматизации задач в различных приложениях. Программы Microsoft Office, такие как Word и Excel поддерживают макросы, написанные на Visual Basic for Applications (VBA), и они могут быть использованы для злонамеренных действий, таких как установка вредоносных программ.

Для предотвращения злоупотреблений, начиная с Office XP, вышедшего в 2001 году, у пользователей запрашивается разрешение перед выполнением неподписанных макросов, встроенных в файлы. Это является основной причиной, почему нападавшие прекратили использовать макросы и перешли к другим методам распространения вредоносных программ.

Тем не менее, оказывается, что в сочетании с социальной инженерией старая техника все еще может быть эффективной, и некоторые группы злоумышленников недавно начали ее использовать.

«Центр защиты от вредоносных программ Microsoft Malware Protection Center (MMPC) в последнее время наблюдает все большее число угроз, использующих макросы для распространения вредоносного кода», написали исследователи вредоносных программ из Microsoft в своем блоге в прошлую пятницу.

Две такие угрозы, которые в первую очередь нацелены на пользователей в США и Великобритании, и деятельность которых достигла своего пика в середине декабря, называются Adnel и Tarbir. Обе распространяются через макросы, встроенные в .doc и .xls документы, которые доставляются с помощью спам-писем и, как правило, маскируются под квитанции, счета, подтверждения банковских переводов и транспортные уведомления.

При открытии, документы предоставляют жертвам пошаговые инструкции о том, как запустить неподписанные макросы, говорят исследователи Microsoft. «Сочетание инструкции, спама с якобы денежным содержанием, и, казалось бы, соответствующим именем файла, может быть достаточно, чтобы убедить ничего не подозревающего пользователя кликнуть по кнопке «Включить Содержимое».

Еще одна вредоносная программа, распространяющаяся через макросы, называется Dridex и нацелена на пользователей банковских онлайн-сервисов. По мнению исследователей из охранной фирмы Trustwave, на пике своей активности в ноябре спам-кампания Dridex распространяла около 15000 документов в день с вредоносными макросами.

Документы рассылались как счета-фактуры от софтверных компаний, интернет-магазинов, банковских учреждений и транспортных компаний. Некоторые из них содержали инструкции о том, как включить макросы для запуска.

Не только киберпреступники начали снова использовать технику макросов, но и финансируемые государством злоумышленники. Исследователи Гади Еврон и Тиллман Вернер недавно представили свой анализ работы операции кибершпионажа под названием Rocket Kitten на конгрессе Chaos Communication Congress в Гамбурге. Нападавшие были нацелены на государственные и учебные заведения в Израиле и Западной Европе с использованием целевых фишинговых писем, которые содержали файлы Excel с вредоносными макросами. При запуске макросов устанавливался сложный бэкдор.

Еще одна кампания кибершпионажа, использующая документы Word с вредоносными макросами, называлась CosmicDuke. Она была раскрыта в сентябре и направлена, по крайней мере, на одно из европейских Министерств иностранных дел. «Приятно видеть, какими добрыми являются нападавшие: при открытии вложения электронной почты, текстовый документ поможет вам включить макросы, предлагая вам нажать «Включить содержимое», заявили в среде исследователи из F-Secure в своем блоге, обсуждая связи между вредоносными программами CosmicDuke, MiniDuke и OnionDuke.