Новости Встроенная функция Office позволяет создавать самовоспроизводящееся вредоносное

http://telegra.ph/file/0baab47441e785c592bb3.jpg

Итальянский исследователь безопасности из InTheCyber Антонио Буоно (Antonio Buono) обнаружил способ, позволяющий создавать самовоспроизводящееся вредоносное ПО с помощью встроенной функции Microsoft Office.

Использование самовоспроизводящегося ПО, позволяющего макросам писать еще больше макросов, не является чем-то новым. С целью защитить своих пользователей от подобной угрозы Microsoft даже реализовала в Office механизм безопасности, ограничивающий данный функционал. Тем не менее, Буоно обнаружил простой способ обхода ограничений, с помощью которого злоумышленники могут создавать самовоспроизводящееся вредоносное ПО и скрывать его за безобидным на первый взгляд документом Word.

Исследователь сообщил Microsoft об обнаруженной проблеме в прошлом месяце. Компания отказалась признавать ее уязвимостью, хотя злоумышленники, похоже, уже эксплуатируют ее. Согласно недавнему отчету Trend Micro, киберпреступники взяли на вооружение новое самовоспроизводящееся вымогательское ПО qkG на основе макросов, использующее описанный Буоно способ.

По данным Trend Micro, qkG был загружен на VirusTotal кем-то из Вьетнама и больше похож на экспериментальный проект или PoC-код, чем на полноценную вредоносную программу. ПО использует технику Auto Close VBA macro, позволяющую выполнять вредоносные макросы, когда жертва закрывает документ.

Microsoft деактивировала по умолчанию внешние (недоверенные) макросы и сделала возможным для пользователей при необходимости включать доверенный доступ к проектам VBA вручную. При активированном доверенном доступе Office доверяет всем макросам и автоматически запускает любой код без уведомления безопасности и разрешения пользователя.

По словам Буоно, включить или отключить доверенный доступ можно путем внесения изменений в реестр Windows. Таким образом можно заставить макросы писать больше макросов без ведома жертвы.