תוכנות זדוניות מאקרו חדשות של Word מדביקות את macOS ו- Windows
צילום: מעבדות FortiGuard
זוהתה צורה נוספת של תוכנות זדוניות של Microsoft Word שמדביקות הן את MacOS והן את מכונות Windows.
קוד ה- VBA הזדוני (Visual Basic for Applications) טמון במאקרו של מסמך Word ומתאים את ההתקפה שלו באופן אוטומטי בהתאם למערכת ההפעלה שבה משתמשים. לאחר ההתקנה, ניתן להשתמש בו להורדת קבצי מטען נוספים למחשב שלך.
תוכנות זדוניות מאקרו אינן דבר חדש; היא מכוונת למשתמשי Windows במשך יותר מעשור. למרות שמספר התקפות המאקרו ירד כאשר התפתחו זיהומים מתוחכמים יותר, חלה עלייה בשנים האחרונות מסיבה אחת גדולה.
מכיוון שההתקפה מתחפשת למאקרו תמים של וורד, היא לא מתגלה עד שיהיה מאוחר מדי. אם אמרת למחשב שלך לפתוח פקודות מאקרו באופן אוטומטי, ניתן להפעיל קוד זדוני לפני שיש לך מושג שהוא קיים.
תוכנת התוכנה הזדונית המאקרו הראשונה שתוכננה עבור Mac התגלתה בחודש פברואר, ועכשיו זוהה זן שני על ידי מעבדות FortiGuard.
הוא משתמש בקוד VBA קבור שמפענח וקורא נתונים (סקריפט פייתון) מהקטע "הערות" המוטמע בקובץ Word. מכיוון ש- macOS בנוי כאשר Python מופעל, מותר להריץ את הסקריפט באמצעות הפונקציה ExecuteForOSX.
כאשר סקריפט זה מבוצע, הוא מוריד קובץ מכתובת URL ומבצע אותו באופן אוטומטי. לא לגמרי ברור מה התוכנה הזדונית מותקנת לאחר שהותקנה בהצלחה במחשב שלך, אך FortiGuard מאמין שהיא משמשת "על ידי התוקפים למטרות מעקב אחר קמפיינים".
כל ההתקפה מבוססת על Metasploit, מסגרת קוד פתוח שיש לה יישומים לגיטימיים, אך בדרך כלל משתנה ליצירת תוכנות זדוניות וכלים זדוניים אחרים.
קל להימנע מתוכנות זדוניות מסוג זה. ראשית, ודא שהמערכת שלך אינה רשאית לפתוח פקודות מאקרו באופן אוטומטי, ולאחר מכן ודא שמסמכי Word שבהם אתה משתמש הם ממקורות מהימנים. אל תפתח רק קבצי Word אקראיים שהורדת מאתרים מפוקפקים.
באמצעות: AppleInsider
