Чтобы спрятать вредоносные макросы, достаточно просто переименовать файл

В конце июля 2016 года эксперты компании SecureState выяснили, что для обхода фильтров Gmail достаточно разбить некоторые ключевые слова в файле надвое, и тогда малварь останется незамеченной. Теперь аналитики Cisco обнаружили похожий способ сокрытия вредоносов. Оказалось, что обмануть фильтры и незадачливых пользователей можно, просто изменив расширение файла.

Проблема, обнаруженная экспертами, связана с тем, что c выходом Office 2007 компания Microsoft решила сменить дефолтный набор форматов файлов на новый, базирующийся на стандарте OfficeOpen XML. До выхода Office 2007 все файлы Microsoft Office обладали встроенной поддержкой макро-скриптов (Visual Basic for Applications) и автоматически их выполняли. После релиза Office 2007, с приходом новых форматов, некоторые из них по-прежнему могли содержать такой код, но другие нет. К примеру, DOCX и DOTX не допускают выполнения макросов, тогда как DOCM и DOTM допускают.

Исследователи Cisco выяснили, что если переименовать файл DOCX/DOTX в DOCM/DOTM, в такой файл уже не получится добавить вредоносный макрос и использовать его, так как MIME-тип файла для этого не подходит. Попытка открыть такой файл вызовет лишь ошибку. Однако если сделать обратное и переименовать DOCM/DOTM в DOCX/DOTX, макрос в файле «выживет». Если открыть такой файл, содержащий вредоносный макрос, тот выполнится как ни в чем ни бывало.

Эксперты пишут, что данная атака сработает, даже если изменить расширение файла с DOCM/DOTM на RTF, хотя этот формат никогда не поддерживал макросы. Аналогичным образом можно переименовать XLSX в CSV. Корень проблемы кроется в файле WWLIB.DLL, который отвечает за то, как Office обрабатывает MIME-типы.

Фактически единственным условием для успешного осуществления атаки является необходимость, чтобы все эти форматы файлов ассоциировались с Office, а с этим нет никаких проблем.

«По сути, MS Word открывает файлы, основываясь на информации о них, а не на их расширении. До тех пор, пока MS Word может определить структуру данных в файле, он будет поступать именно так и откроет файл корректно», — поясняют эксперты Cisco.

Отчет Cisco гласит, что эта тактику уже взяли на вооружение злоумышленники. Впервые такая схема распространения малвари была зафиксирована в начале 2016 года, и тех пор число таких случаев неуклонно растет.