MKD-CIRT National Centre for Computer Incident Response
„Иклучете ги макроата во Office и секогаш бидете исклучително внимателни кога рачно ги вклучувате”.
Можеби досега сте го сретнале претходното предупредување, со оглед на тоа што злонамерните хакери во последните десетина години често користат техника за хакирање базирана на макроа, кои се вметнати во специјално изработени Microsoft Office датотеки (особено Word датотеки), прикачени за спам е-пораки. Во претходно известување, МКД-ЦИРТ предупреди за ваков тип на закана за Windows и на MacOS оперативните системи.
Се појави нов вид на закана, базирана на социјален инженеринг (анг. social engineering), кај која нема потреба да се вклучени макроа – наместо тоа, се извршуваат PowerShell команди вградени во PowerPoint (PPT, PPTX) датотека.
Уште пострашно, злонамерниот PowerShell код во документот се активира и без жртвата да кликне на линкот – само со поминување со глувчето преку линкот може да се преземе дополнителна злонамерна содржина на компромитираната машина.
Истражувачите од компанијата за безбедност SentinelOne откриле група хакери кои користат злонамерни PowerPoint датотеки за да дистрибуираат „Zusy“, т.н. банкарски тројанец, познат и како „Tinba“(Tiny Banker). Банкарскиот тројанец Zusy, кој е насочен кон финансиски веб-страници е откриен во 2012 година. Тој може да го прислушкува мрежниот сообраќај и да изведува т.н. Man-in-The-Browser напади со цел да вметне дополнителни форми во легитимните банкарски веб-страници со кои бара од жртвата дополнитени информации како броеви од кредитни картички, броеви за автентикациски трансакции и автентикациски токени.
„Новата варијанта од малверот Zusy беснее ширејќи се преку PowerPoint датотека прикачена на спам е-пораки со наслови како ‘Нарачка број #130527’или ’Потврда ’. Интересно е што за да се изврши не е потребно корисникот да има вклучено макроа“ – тврдат истражувачите од SentinelOne Labs.
PowerPoint датотеките се шират преку спам е-пораки со наслов ‘Нарачка број #130527’или ’Потврда ’ во која е запишан текстот “Loading…Please Wait” како хипер-врска.
Кога корисникот поминува со глувчето преку линкот, автоматски се активира PowerShell код, но безбедносната опција Protected View која е вклучена во сите последни верзии на Office (вклучително и Office 2013 и Office 2010), прикажува сериозно предупредување и го прашува корисникот дали дозволува извршување на надворешни програми. Корисниците ги имаа следните опции „Дозволи ги сите“ (анг. Enable All), „Дозволи“ (анг.Enable) и „Оневозможи“ (анг.Disable).
Ако корисникот го ингорира предупредувањето и дозволи преглед на содржината, злонамерната програма ќе се поврзе на доменското име „cccn.nl“, од каде што презема и извршува датотека која е одоговорна за испорака на банкарскиот тројанец Zusy.
„Корисниците би можеле да дозволат извршување на надворешни програми од причина се мрзливи, брзаат или се навикнати да блокираат само макроа“ – изјавуваат од SentinelOne Labs. „Исто така, можно е некои конфигурации да се потолерантни за извршување на надворешни програми отколку што се за макроа“.
Овој нов вид на напад бил анализиран и од страна на друг истражувач од областа на информациска безбедност, Ruben Daniel Dodge, кој потврдил дека методот на извршување не се базира на макроа, Javascript илиVBA.
Овој вид на напад не работи доколку злонамерната датотека е отворена во PowerPoint Viewer, кој одбива да го изврши програмот. Сепак, техниката би можела да биде ефикасна во некои ситуации.
Според Microsoft, Office има заштита од оваа хакерска техника затоа што Office Protected View е стандардно вклучен како опција. Windows Defender и Office 365 Advanced Threat Protection го пронаоѓаат и го отстрануваат овој малвер.
Корисниците и организациите треба да проверат дали ја имаат вклучено безбедносната опција Office Protected View и дали ги имаат исклучено макроата во Office.
Извор: thehackernews.com