Контакты
Подписка
МЕНЮ
Контакты
Подписка

Чтобы спрятать вредоносные макросы для Gmail, достаточно просто переименовать файл

Чтобы спрятать вредоносные макросы для Gmail, достаточно просто переименовать файл

Чтобы спрятать вредоносные макросы для Gmail, достаточно просто переименовать файл


04.08.2016



В конце июля 2016 года эксперты компании SecureState выяснили, что для обхода фильтров Gmail достаточно разбить некоторые ключевые слова в файле надвое, и тогда малварь останется незамеченной. Теперь аналитики Cisco обнаружили похожий способ сокрытия вредоносов. Оказалось, что обмануть фильтры и незадачливых пользователей можно, просто изменив расширение файла.

Проблема, обнаруженная экспертами, связана с тем, что c выходом Office 2007 компания Microsoft решила сменить дефолтный набор форматов файлов на новый, базирующийся на стандарте OfficeOpen XML. До выхода Office 2007 все файлы Microsoft Office обладали встроенной поддержкой макро-скриптов (Visual Basic for Applications) и автоматически их выполняли. После релиза Office 2007, с приходом новых форматов, некоторые из них по-прежнему могли содержать такой код, но другие нет. К примеру, DOCX и DOTX не допускают выполнения макросов, тогда как DOCM и DOTM допускают.

Исследователи Cisco выяснили, что если переименовать файл DOCX/DOTX в DOCM/DOTM, в такой файл уже не получится добавить вредоносный макрос и использовать его, так как MIME-тип файла для этого не подходит. Попытка открыть такой файл вызовет лишь ошибку. Однако если сделать обратное и переименовать DOCM/DOTM в DOCX/DOTX, макрос в файле "выживет". Если открыть такой файл, содержащий вредоносный макрос, тот выполнится как ни в чем ни бывало.

Эксперты пишут, что данная атака сработает, даже если изменить расширение файла с DOCM/DOTM на RTF, хотя этот формат никогда не поддерживал макросы. Аналогичным образом можно переименовать XLSX в CSV. Корень проблемы кроется в файле WWLIB.DLL, который отвечает за то, как Office обрабатывает MIME-типы.

Фактически единственным условием для успешного осуществления атаки является необходимость, чтобы все эти форматы файлов ассоциировались с Office, а с этим нет никаких проблем.

"По сути, MS Word открывает файлы, основываясь на информации о них, а не на их расширении. До тех пор, пока MS Word может определить структуру данных в файле, он будет поступать именно так и откроет файл корректно", — поясняют эксперты Cisco.

Отчет Cisco гласит, что эта тактику уже взяли на вооружение злоумышленники. Впервые такая схема распространения малвари была зафиксирована в начале 2016 года, и тех пор число таких случаев неуклонно растет.

Хакер