Nauja „Word“ makrokomandos kenkėjiška programa užkrečia „MacOS“ ir „Windows“
Nuotrauka: „FortiGuard Labs“
Aptikta dar viena „Microsoft Word“ kenkėjiškų programų forma, užkrečianti tiek „MacOS“, tiek „Windows“ kompiuterius.
Kenkėjiškas VBA („Visual Basic for Applications“) kodas yra palaidotas „Word“ dokumento makrokomandoje ir automatiškai pritaiko jo ataką, priklausomai nuo naudojamos operacinės sistemos. Įdiegus jį galima atsisiųsti į kompiuterį daugiau naudingų krovinių failų.
Makro kenkėjiška programa nėra nieko naujo; ji buvo skirta „Windows“ vartotojams daugiau nei dešimtmetį. Nors makroaktyvių išpuolių skaičius sumažėjo, kai buvo sukurtos sudėtingesnės infekcijos, pastaraisiais metais dėl vienos didelės priežasties vėl atsinaujino.
Kadangi ataka yra užmaskuota kaip nekaltas „Word“ makrokomanda, ji lieka nepastebėta, kol nevėlu. Jei liepėte savo kompiuteriui automatiškai atidaryti makrokomandas, kenkėjiškas kodas gali būti įvykdytas dar neįsivaizduojant, kad jis yra.
Buvo atrasta pirmoji „Mac“ sukurta makro kenkėjiška programa dar vasario mėnesį, ir dabar buvo aptikta antroji padermė „FortiGuard Labs“.
Jis naudoja palaidotą VBA kodą, kuris dekoduoja ir skaito duomenis („Python“ scenarijų) iš „Word“ faile įterpto skyriaus „Komentarai“. Kadangi „MacOS“ sukurta su įjungtu „Python“, scenarijui leidžiama vykdyti naudojant „ExecuteForOSX“ funkciją.
Kai šis scenarijus vykdomas, jis atsisiunčia failą iš URL ir automatiškai jį vykdo. Nėra visiškai aišku, ką kenkėjiška programa daro, kai ji sėkmingai įdiegta jūsų kompiuteryje, tačiau „FortiGuard“ mano, kad ją „užpuolikai naudoja kampanijos stebėjimo tikslais“.
Visa ataka pagrįsta „Metasploit“-atviro kodo sistema, kuri turi teisėtas programas, tačiau paprastai yra modifikuojama, kad būtų sukurta kenkėjiška programa ir kiti kenkėjiški įrankiai.
Tokios kenkėjiškos programos lengva išvengti. Pirmiausia įsitikinkite, kad jūsų sistemai neleidžiama automatiškai atidaryti makrokomandų, tada įsitikinkite, kad jūsų naudojami „Word“ dokumentai yra iš patikimų šaltinių. Neatidarykite tik atsitiktinių „Word“ failų, kuriuos atsisiuntėte iš abejotinų svetainių.
Per: „AppleInsider“
