За даними компанії Trustwаve SpidеrLabs, в мережі з’явився новий тип комп’ютерних вiрусiв, які переховуються під виглядом текстових документів Word. Він поширюється за допомогою електронної пошти.
Подібний метод практикується зловмисниками досить давно, однак ключовою особливістю вiрусу стала повна відсутність макросів, чого раніше не зустрічалося, пише “maximum.fm“.
Раніше при відкритті заражених вкладень користувачі бачили попередження або спливаючі вікна. У випадку з новим вiруcом такого не відбувається. За допомогою вiруcу зловмисники можуть “викрадати” облікові дані з електронної пошти жeртви, FTP і браузерів. Дослідники відзначили багаторівневу природу aтaки, порівнявши її з турдакеном – святковою стравою, в якій курча поміщають в качку, а її, у свою чергу, – в індичку.
Дослідники з Trustwave заявили, що вiрус використовує комбінацію методів, які починаються з вкладення формату .DOCX. Жeртви отримують електронною поштою різні листи, пов’язані з фінансами. Всі виявлені фахівцями e-mail включали вкладення з ім’ям “receipt.docx”.
Процес aтaки з чотирма етапами починається з відкриття файлу .DOCX і запуску вбудованого OLE-об’єкта, що містить посилання. Це дозволяє посилатися на зовнішній доступ до віддалених OLE-об’єктів. За словами дослідників, зловмисники користується тим, що документи Word, створені за допомогою Mіcrosoft Offіce 2007, використовують формат Open XML, який заснований на технологіях XML і ZIP-архівів. Тому такими файлами можна легко маніпулювати програмно або вручну.
Другий етап полягає в використанні Word-файлу для запуску завантаження файлу з розширенням RTF. Останній вдається до уразливості редактора Offіce Equation Editor, закритої Microsoft в листопаді минулого року. Третій етап полягає в декодуванні тексту всередині RTF-файлу, який, в свою чергу, запускає командний рядок MSHTA, а вона завантажує і відкриває HTA-файл. Останній містить скрипт PowerShell, який і виконує шкідливе ПЗ Password Stealer. Цей вірус викрадає облікові дані з програм електронної пошти, FTP і браузера.
