Хакеры научились заражать ПК на Windows документами Word без макросов

Безопасность Стратегия безопасности Пользователю
мобильная версия
, Текст: Роман Георгиев
Злоумышленники рассылают вредоносную программу FormBook через документы Microsoft Word, причем без использования макросов. Основными пострадавшими на данный момент являются игроки финансового и информационно-сервисного сектора на Ближнем Востоке и в США.

Архитектурные недочеты

Эксперты компании Menlo Security отметили начавшуюся в марте волну кибератак на компании, относящиеся к финансовому сектору и сфере информационных услуг в США и на Ближнем Востоке. Злоумышленники используют многоступенчатые методики заражения.

Ключевая проблема с этими атаками - чрезвычайная эффективность в обходе защитных средств, таких как антивирусы и сэндбоксы. Дело в том, что на первом этапе атаки злоумышленники рассылают специальный документ Word (.docx или .rtf), в котором нет никакого активного вредоносного содержимого - ни активного вредоносного кода, ни шелл-кода.

Для заражения компьютера жертвы злоумышленники используют определенные «архитектурные недочеты» форматов .docx и .rtf. В частности, в документах, которые присылаются потенциальным жертвам на первой стадии атаки, используются Framesets («Наборы фреймов» в русской локализации) - специальные HTML-тэги, содержащие элементы Frame, которые производят дополнительную загрузку внешних объектов. В результате, когда документ просматривается в режиме разрешенного редактирования, встроенный фрейм обращается к сокращенной ссылке TinyURL, которая задана в сопутствующем файле webSettings.xml.rels. Файлы .rels содержат информацию о том, как разные части документа Microsoft Office сочетаются друг с другом.

Ступеней много, уникальна - одна

Если жертва открывает документ «первой стадии», Microsoft Word делает HTTP-запрос по заданной ссылке, скачивает внешний объект и встраивает его в документ. Ссылка ведет к контрольным серверам, физически расположенным во Франции и США, а внешним объектом является вредоносный RTF-файл, эксплуатирующий уязвимость CVE-2017-8570.

win600.jpg
Вредоносная программа FormBook заражает ПК через документы Microsoft Word даже без использования макросов

Данная уязвимость связана с неправильной обработкой Microsoft Office объектов в оперативной памяти и допускает запуск произвольного кода (или вредоносных файлов).

Скачиваемый RTF-файл содержит встроенный файл .sct, который автоматически записывается в папку %TEMP%, автоматически запускается, после чего там формируется файл под названием chris101.exe, запускаемый с помощью метода Wscript.Shell.Run().

Этот файл снова обращается к контрольному серверу и скачивает еще один загрузчик, который уже непосредственно доставляет широко известную шпионскую программу FormBook. Эта программа способна записывать нажатия клавиш, перехватывать содержимое буфера обмена и данные из HTTP-сессий. Она также может выполнять команды, пересылаемые со стороны контрольных серверов, - такие, например, как загрузка новых файлов, запуск локальных процессов, перезагрузка или отключение системы, перехват паролей и файлов cookie и т.д.

«В общем и целом, атака уникальна только своей первой стадией, - обычно злоумышленники пытаются любым способом заставить пользователей активировать макросы, чтобы использовать их как вектор заражения, - отметил Олег Галушкин, эксперт по информационной безопасности компании SEC Consult Services. - Дальнейшие стадии заражения вполне типичны и многократно опробованы различными злоумышленниками. Озадачивает только обилие систем, которые содержат эту уязвимость, учитывая, что Microsoft выпустила патч для нее еще без малого год назад».

Действительно, уязвимость CVE-2017-8570 была исправлена еще в июле 2017 г., однако, по-видимому, в мире остается большое количество систем, на которые соответствующий патч так до сих пор и не был установлен.