Будьте напоготові: комп'ютери атакує новий вірус у вигляді файлів Word

28,9 т.
Будьте напоготові: комп'ютери атакує новий вірус у вигляді файлів Word

В інтернеті виявлено новий вид вірусу, який потрапляє на комп'ютери користувачів через електронну пошту під виглядом файлу Word.

Про це заявили в компанії Trustwave SpiderLabs, передає "Максимум".

Подібний метод зловмисники практикують досить давно, однак ключовою особливістю вірусу стала повна відсутність макросів, чого раніше не траплялося. До цього під час відкриття заражених вкладень користувачі бачили попередження або спливаючі вікна. У випадку з новим вірусом такого не відбувається. За допомогою вірусу зловмисники можуть "викрадати" облікові дані з електронної пошти жертви, FTP і браузерів. Крім того, дослідники відзначили ще одну його особливість - багаторівневу природу атаки. Так, експерти Trustwave заявили, що вірус використовує комбінацію методів, які починаються з вкладення формату .DOCX. Жертви отримують на електронну пошту різні листи, пов'язані з фінансами. Усі виявлені фахівцями e-mail вміщували вкладення з ім'ям "receipt.docx".

Читайте: Краде повідомлення та розмови: месенджер WhatsApp охопив потужний вірус

Процес атаки з чотирма етапами починається з відкриття файлу .DOCX і запуску вбудованого OLE-об'єкта, що містить посилання. Це дозволяє посилатися на зовнішній доступ до віддалених OLE-об'єктів. За словами аналітиків, зловмисники користуються тим, що документи Word, створені за допомогою Microsoft Office 2007, використовують формат Open XML, який заснований на технологіях XML і ZIP-архівів. Тому такими файлами можна легко маніпулювати програмно або вручну.

Другий етап полягає у використанні Word-файлу для запуску завантаження файлу з розширенням RTF. Останній використовує уразливість редактора Office Equation Editor, закритого Microsoft у листопаді 2017 року.

Третій етап полягає в декодуванні тексту всередині RTF-файлу, який, зі свого боку, запускає командний рядок MSHTA, а він завантажує та відкриває HTA-файл. Останній містить скрипт PowerShell, який і виконує шкідливе ПО Password Stealer. Цей вірус викрадає облікові дані з програм електронної пошти, FTP та браузера.

Читайте: Вірус NotPetya в Україні: ЦРУ звинуватила російських війскових

Фахівці відзначили надзвичайно велику кількість етапів і сценаріїв, які використовує цей вірус. Крім того, файли DOCX, RTF та HTA рідко блокуються поштовими або мережевими шлюзами, на відміну від більш очевидних, таких як VBS, JScript або WSF. Тому вони закликають користувачів комп'ютерів не відкривати файли, отримані від невідомих відправників.

Як повідомляв "Обозреватель", наприкінці січня близько 4 млн мобільних пристроїв з операційною системою Android були заражені шкідливим додатком DressCode, який вносить пристрій до єдиної мережі, підконтрольній хакерам.