Uus Wordi makro pahavara nakatab macOS -i ja Windowsi

Tuvastati veel üks Microsoft Wordi pahavara vorm, mis nakatab nii macOS -i kui ka Windowsi masinaid.

Pahatahtlik VBA (Visual Basic for Applications) kood on maetud Wordi dokumendimakrosse ja kohandab rünnakut automaatselt sõltuvalt kasutatavast operatsioonisüsteemist. Kui see on installitud, saab seda arvutisse laadida rohkem kasulikku koormust sisaldavaid faile.

Makro pahavara pole midagi uut; see on sihitud Windowsi kasutajatele juba üle kümne aasta. Ehkki keerukamate nakkuste väljatöötamisel vähenes makrorünnakute arv, on viimastel aastatel toimunud üks suur põhjus.

Kuna rünnak on maskeeritud süütuks Wordi makroks, jääb see avastamata, kuni on liiga hilja. Kui olete käskinud oma arvutil makroid automaatselt avada, võidakse pahatahtlik kood käivitada enne, kui teil on aimugi selle olemasolust.

Avastati esimene Maci jaoks loodud makro pahavara tagasi veebruarisja nüüd avastati teine ​​tüvi FortiGuard Labs.

See kasutab maetud VBA -koodi, mis dekodeerib ja loeb andmeid (Pythoni skript) Wordi faili manustatud jaotisest „Kommentaarid”. Kuna macOS on ehitatud sisse lülitatud Pythoniga, lubatakse skripti käivitada funktsiooni ExecuteForOSX kaudu.

Selle skripti käivitamisel laadib see faili URL -ist alla ja käivitab selle automaatselt. Pole täiesti selge, mida pahavara pärast teie arvutisse edukalt installimist teeb, kuid FortiGuard usub, et seda kasutavad „ründajad kampaania jälgimise eesmärgil”.

Kogu rünnak põhineb avatud lähtekoodiga raamistikul Metasploit, millel on seaduslikud rakendused, kuid mida tavaliselt muudetakse pahavara ja muude pahatahtlike tööriistade loomiseks.

Sellist pahavara on lihtne vältida. Esiteks veenduge, et teie süsteemil ei lubata makrosid automaatselt avada, seejärel veenduge, et kasutatavad Wordi dokumendid pärinevad usaldusväärsetest allikatest. Ärge lihtsalt avage küsitavatelt veebisaitidelt alla laaditud juhuslikke Wordi faile.

Läbi: AppleInsider