Хакеры нашли новый метод взлома через файлы Word

Особенность нового метода взлома заключается в том, что он не требует использования макросов.

Исследователи из Trustwave заявили, что вирус использует комбинацию методов, которые начинаются с вложения формата .DOCX. Жертвы получают по электронной почте различные письма, связанные с финансами. Все обнаруженные специалистами e-mail включали вложение с именем «receipt.docx».

Процесс атаки с четырьмя этапами начинается с открытия файла .DOCX и запуска встроенного OLE-объекта, содержащего ссылки. Это позволяет ссылаться на внешний доступ к удалённым OLE-объектам. По словам исследователей, злоумышленники пользуется тем, что документы Word, созданные с помощью Microsoft Office 2007, используют формат Open XML, который основан на технологиях XML и ZIP-архивов. Поэтому такими файлами можно легко манипулировать программно или вручную.

Второй этап заключается в использовании Word-файла для запуска загрузки файла с расширением RTF. Последний прибегает к уязвимости редактора Office Equation Editor, закрытой Microsoft в ноябре прошлого года. Третий этап заключается в декодировании текста внутри RTF-файла, который, в свою очередь, запускает командную строку MSHTA, а она загружает и открывает HTA-файл. Последний содержит скрипт PowerShell, который и выполняет вредоносное ПО Password Stealer. Этот вирус похищает учётные данные из программ электронной почты, FTP и браузера. 

Специалисты отметили необычайно большое количество этапов и сценариев, используемых этим вирусом. Кроме того, файлы DOCX, RTF и HTA редко блокируются почтовыми или сетевыми шлюзами, в отличие от более очевидных, таких как VBS, JScript или WSF. 

Не забывайте, не стоит открывать файлы, полученные от неизвестных отправителей.