Рост угроз через вредоносные макросы в документах Microsoft Office
Источник: www.deepinstinct.com
Документы Microsoft Office как инструмент кибератак: новые методы обхода защиты
Документы Microsoft Office, такие как Word и Excel, используются киберпреступниками всё чаще из-за их широкой распространённости и возможности скрывать вредоносный код. Злоумышленники эксплуатируют встроенные макросы и внешние ссылки, которые активируются при взаимодействии пользователя с файлом, превращая привычные документы в эффективные каналы распространения различных угроз.
Механизмы заражения и методы обхода защиты
Основные способы распространения вредоносного кода в Office-документах включают:
- Встроенные макросы и удалённое внедрение шаблонов;
- Обфускация макросов, усложняющая их обнаружение антивирусными системами;
- Использование внешних ссылок для запуска вредоносных скриптов.
Такие методы позволяют обходить традиционные средства защиты и создавать угрозы, включая программы-вымогатели и вредоносные программы для кражи данных. Привычный для пользователей формат документов Office способствует применению фишинга и социальной инженерии, маскируя атаки под легитимную переписку.
Практическая демонстрация и анализ угрозы
В одном из демонстрационных экспериментов был создан Excel-документ с поддержкой макросов, содержащий частично незавершённый код VBA, который выполнял команды PowerShell и загружал пакетный файл из Pastebin. Проверка через VirusTotal показала, что сразу 22 поставщика антивирусных решений определили этот файл как вредоносный.
Особое внимание было уделено методам обфускации кода, которые создают дополнительный слой защиты от детектирования:
- Обфускация макропакетов с использованием регулярных выражений (regex),
- Динамическая реконструкция вредоносных компонентов во время исполнения.
Этот подход значительно усложняет обнаружение с помощью статического анализа. Например, при анализе с помощью специализированного инструмента OLEVBA исходный образец макроса явным образом демонстрировал признаки вредоносного поведения, тогда как версия с обфускацией regex прошла проверку незамеченной.
Стратегии хакеров и возможности обхода защиты
Создавая критически важные компоненты, такие как команды PowerShell, непосредственно во время выполнения, злоумышленники существенно снижают шансы автоматизированных систем безопасности распознать угрозу. Хотя на данный момент нет сообщений об использовании описанной обфускации в реальных активных атаках, её потенциал очевиден и представляет серьёзную угрозу.
Усиление риска с появлением Python в Excel
Недавнее внедрение функциональности Python в Microsoft Excel повышает уровень риска. Несмотря на то что вычисления происходят в облачной среде, наличие мощного скриптового языка в привычном пакете Office открывает новые возможности для целенаправленных атак хакеров.
В подобных условиях постоянный мониторинг и адаптация защитных механизмов становятся задачей критически важной значимости. Авторы вредоносных программ непрерывно совершенствуют тактику, чтобы скрыть вредоносные действия и избежать обнаружения, а значит только комплексный и гибкий подход к кибербезопасности позволит противостоять этим угрозам.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
