Вновь отмечается рост популяции зловредных макросов

Зловредные макросыВредоносное ПО, использующее для заражения макросы Microsoft Office, существует больше десяти лет. Это одна из тех примечательных тактик, которые провоцируют вендоров софта вносить изменения в свои продукты. В последнее время в сетевом андеграунде наблюдается возврат к этой технике. Так, с начала текущего года Microsoft отмечает значительный рост популяции зловредных макросов, раздаваемых через спам.

В минувшем месяце эксперты Trustwave зафиксировали новый всплеск спам-рассылок, нацеленных на засев банкера Dridex с использованием макросов. Злоумышленники распространяли вредоносные XML-файлы и пытались убедить адресатов активировать макрос для запуска зловреда.

«XML-файлы — это давно устоявшийся бинарный формат для документов Office, — поясняет Карл Сиглер (Karl Sigler), менеджер Trustwave по сбору информации об интернет-угрозах. — Если открыть такой документ двойным нажатием кнопки мыши, произойдет автоматический запуск приложения Word и макросов, если пользователь ненароком их включил».

Наблюдаемые Microsoft вредоносные рассылки также используют элементы социальной инженерии, чтобы вынудить пользователя включить макрос. На многих предприятиях эта функция по умолчанию отключена, дефолт был введен разработчиком из-за больших проблем с вредоносными макросами в 2000-е годы. В последние несколько лет злоумышленники редко обращаются к этой технике, однако ныне она вновь обрела популярность и применяется не без успеха. За первый квартал Microsoft насчитала более 500 тыс. резидентных макрос-даунлоудеров. Наибольшее количество таких заражений было выявлено на территории США и Великобритании.

«Документы с вредоносным макросом, атакующим пользователей электронной почты через спам, намеренно оформлены таким образом, чтобы заинтриговать получателя, — пишут исследователи в блоге подразделения Microsoft Malware Protection Center. — Такие темы, как «Счет-фактура», «Плательщику федерального налога», «Извещение службы доставки», «Резюме», «Подтверждение добровольного взноса», легко могут вынудить пользователя прочесть письмо и бездумно открыть вложение. Он откроет документ, включит макрос, думая, что корректирует отображение, и, сам того не ведая, запустит зловреда на исполнение».

При активации макрос-зловред обычно доставляет финальную полезную нагрузку или устанавливает второй даунлоудер, который связывается с удаленным сервером и загружает троянца. Лучшей защитой от таких атак являются запрет макросов по умолчанию и информирование пользователей о рисках, связанных с включением этой функции.

НОВОСТИ ПО ТЕМЕ

Добавить комментарий

Войти с помощью:  
Имя
E-mail

 

Комментарии к записи Вновь отмечается рост популяции зловредных макросов