Najnowsze oprogramowanie Microsoft WORD nie stosuje makr do UNLEASH ATTACK

Reading Time: 2 minutes

Popularną metodą infekowania użytkowników złośliwym oprogramowaniem są dokumenty Microsoft Office załadowane złośliwymi makrami. Głównie wśród tych dokumentów są te z Microsoft Word, ponieważ są one łatwe do socjotechniki w ich pobieranie. Główny powód, dla którego hakerzy wykorzystują dokumenty Office, ma związek z możliwą do wykorzystania naturą makr. Z tego powodu makra są domyślnie wyłączone, ale można je włączyć przez wybór użytkownika. Ale nowy atak złośliwego oprogramowania Microsoft Word pokazuje, że makra nie są konieczne do zainfekowania komputera. Wyniki badań przeprowadzonych przez firmę ochroniarską Trustwave opisują makro-wolny atak złośliwego oprogramowania za pośrednictwem dokumentów programu Word w załącznikach wiadomości e-mail. Celem ataku jest kradzież danych uwierzytelniających użytkownika w wiadomościach e-mail, protokołach FTP i przeglądarkach użytkowników za pomocą “wieloetapowego ataku e-mail Word”.

Atak składa się z czterech części, które są następujące (z bezpośrednimi cytatami z raportu Trustwave):

  • Plik docx (utworzony za pomocą programu Word 2007) jest otwierany, co umożliwia “zewnętrzny dostęp do zdalnych obiektów OLE w dokumencie document.xml.rels”
  • Rozpoczęto pobieranie pliku RTF, które następnie uruchamia plik RTF wykorzystujący exploita (CVE-2017-11882), który jest przeznaczony do edytora MS Equation Editor.
  • Plik RTF “wykona linię komend MSHTA, która pobiera i wykonuje zdalny plik HTA. Plik HTA zawiera VBScript … Poprzez dekodowanie każdego kodu znaku w VBScript, ujawnia on skrypt PowerShell, który ostatecznie … wykonuje zdalny plik binarny. “
  • Szkodliwe ładowanie jest wykonywane, kradnąc poświadczenia “przez połączenie dostępnych łańcuchów w pamięci i użycie interfejsów API RegOpenKeyExW i PathFileExistsW, aby sprawdzić, czy istnieją rejestry lub ścieżki różnych programów.”

Jedyną obroną przed tym szczególnym złośliwym oprogramowaniem Word jest praktykowanie zdroworozsądkowych strategii bezpieczeństwa cybernetycznego. Uważaj na wiadomości e-mail pochodzące z nieznanych źródeł, a co najważniejsze, nie pobieraj żadnego dokumentu, chyba że masz absolutną pewność, że jest to konieczne.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *