Hakerzy wykorzystują MS Office do rozprzestrzeniania samoreplikujących złośliwego oprogramowania

Computer Security News

Eksperci od bezpieczeństwa zgłaszane usterki, której dotyczy wszystkich wersji pakietu Microsoft Office i może zostać wykorzystane przez hakerów do rozprzestrzeniania oparte na makrze samoreplikujących złośliwego oprogramowania.

Poinformowania o wadę, Microsoft zaimplementowany mechanizm zabezpieczeń w MS Office, która uniemożliwia tego rodzaju ataków. Jednak pomimo nowego mechanizmu, analityk z firmy InTheCyber znalazł techniką ataku ominąć kontroli zabezpieczeń i tworzenia samoreplikujących złośliwego oprogramowania ukryte w dokumentach MS Word.

Microsoft został poinformowany o wadę w październiku, jednak korporacji nie uważają, że problem luki w zabezpieczeniach i wyjaśnił, że funkcja wykorzystana przez biegłego został wdrożony do pracy dokładnie w ten sposób.

Co gorsza jednak jest że hakerzy już wykorzystują ten sam wektor ataku, które zgłoszono do firmy Microsoft.

Kilka dni temu, eksperci bezpieczeństwa z Trend Micro szczegółowe niedawno odkryte oparte na makrze samopowielającego ransomware o nazwie ‘qkG’, która wykorzystuje tę samą wadę MS office.

“Dalszej kontroli w qkG pokazuje również, że jest więcej eksperymentalnego projektu lub proof of concept (PoC) zamiast malware aktywnie używane w środowisku naturalnym. To, jednak nie czyni qkG mniejsze zagrożenie. Jak qkG próbek wykazały, jego zachowania i technik można precyzyjnie ustawić przez jego autora lub innych podmiotów zagrożenie.” Analiza opublikowana przez firmę Trend Micro odczytuje.

QkG ransomware opiera się na technice makro VBA Zamknij Auto wykonywania złośliwe makro, gdy ofiara zamyka dokument.

Pierwsza wersja qkG ransomware zawarte Bitcoin adres, podobnie jak próbka najnowsze zagrożenia, która domaga się okupu w wysokości 300 dolarów w BTC.

Według naukowców bezpieczeństwa adresów Bitcoin nie otrzymała płatności jeszcze, co sugeruje, że hakerzy nie rozprzestrzeniania złośliwego oprogramowania na całym świecie jeszcze.

Eksperci znaleziono również, że qkG ransomware używa obecnie ustalony hasło “jestem QkG@PTM17! przez TNA@MHT-TT2” który pozwala, aby odszyfrować pliki.

Microsoft Corporation ma niezaufane zewnętrznych makra, domyślnie i ograniczyć domyślny programowy dostęp do modelu obiektowego projektu VBA pakietu Office. Użytkowników można ręcznie włączyć “Ufaj dostępowi do modelu obiektowego projektu VBA”, jeśli jest to wymagane.

Tak szybko, jak jest włączone ustawienie “Ufaj dostępowi do modelu obiektowego projektu VBA”, MS Office ufa wszystkich makr i automatycznie uruchamia kodu bez wyświetlanie ostrzeżenia zabezpieczeń lub wymagające zgody użytkownika.

Użytkownicy mogą także enabled/ niepełnosprawnych “Ufaj dostępowi do modelu obiektowego projektu VBA” ustawienia przez edycję rejestru systemu Windows, ostatecznie włączania makr napisać więcej makra bez zgody i wiedzy użytkownika.

Technikę ataku został wynaleziony przez Lino Antonio Buono i widzi tylko hakerzy oszukiwanie ofiar do wykonywania makra zawarte w dokumencie przynęty.

“(Częściowo) łagodzić lukę jest możliwość przeniesienia klucza rejestru AccessVBOM z gałęzi HKCU do HKLM, dzięki czemu można edytować tylko przez system administratora. ” Buono mówi.


Leave a Reply

Your email address will not be published. Required fields are marked *