Поделиться
Хакеры научились заражать ПК на Windows документами Word без макросов
Злоумышленники рассылают вредоносную программу FormBook через документы Microsoft Word, причем без использования макросов. Основными пострадавшими на данный момент являются игроки финансового и информационно-сервисного сектора на Ближнем Востоке и в США.Архитектурные недочеты
Эксперты компании Menlo Security отметили начавшуюся в марте волну кибератак на компании, относящиеся к финансовому сектору и сфере информационных услуг в США и на Ближнем Востоке. Злоумышленники используют многоступенчатые методики заражения.
Ключевая проблема с этими атаками - чрезвычайная эффективность в обходе защитных средств, таких как антивирусы и сэндбоксы. Дело в том, что на первом этапе атаки злоумышленники рассылают специальный документ Word (.docx или .rtf), в котором нет никакого активного вредоносного содержимого - ни активного вредоносного кода, ни шелл-кода.
Для заражения компьютера жертвы злоумышленники используют определенные «архитектурные недочеты» форматов .docx и .rtf. В частности, в документах, которые присылаются потенциальным жертвам на первой стадии атаки, используются Framesets («Наборы фреймов» в русской локализации) - специальные HTML-тэги, содержащие элементы Frame, которые производят дополнительную загрузку внешних объектов. В результате, когда документ просматривается в режиме разрешенного редактирования, встроенный фрейм обращается к сокращенной ссылке TinyURL, которая задана в сопутствующем файле webSettings.xml.rels. Файлы .rels содержат информацию о том, как разные части документа Microsoft Office сочетаются друг с другом.
Ступеней много, уникальна - одна
Если жертва открывает документ «первой стадии», Microsoft Word делает HTTP-запрос по заданной ссылке, скачивает внешний объект и встраивает его в документ. Ссылка ведет к контрольным серверам, физически расположенным во Франции и США, а внешним объектом является вредоносный RTF-файл, эксплуатирующий уязвимость CVE-2017-8570.
Данная уязвимость связана с неправильной обработкой Microsoft Office объектов в оперативной памяти и допускает запуск произвольного кода (или вредоносных файлов).
Скачиваемый RTF-файл содержит встроенный файл .sct, который автоматически записывается в папку %TEMP%, автоматически запускается, после чего там формируется файл под названием chris101.exe, запускаемый с помощью метода Wscript.Shell.Run().
Этот файл снова обращается к контрольному серверу и скачивает еще один загрузчик, который уже непосредственно доставляет широко известную шпионскую программу FormBook. Эта программа способна записывать нажатия клавиш, перехватывать содержимое буфера обмена и данные из HTTP-сессий. Она также может выполнять команды, пересылаемые со стороны контрольных серверов, - такие, например, как загрузка новых файлов, запуск локальных процессов, перезагрузка или отключение системы, перехват паролей и файлов cookie и т.д.
«В общем и целом, атака уникальна только своей первой стадией, - обычно злоумышленники пытаются любым способом заставить пользователей активировать макросы, чтобы использовать их как вектор заражения, - отметил Олег Галушкин, эксперт по информационной безопасности компании SEC Consult Services. - Дальнейшие стадии заражения вполне типичны и многократно опробованы различными злоумышленниками. Озадачивает только обилие систем, которые содержат эту уязвимость, учитывая, что Microsoft выпустила патч для нее еще без малого год назад».
Действительно, уязвимость CVE-2017-8570 была исправлена еще в июле 2017 г., однако, по-видимому, в мире остается большое количество систем, на которые соответствующий патч так до сих пор и не был установлен.
Поделиться
Короткая ссылка
