События

Встроенная функция Office позволяет создавать самовоспроизводящееся вредоносное ПО

Встроенная функция Office позволяет создавать самовоспроизводящееся вредоносное ПО

Итальянский исследователь безопасности из InTheCyber Антонио Буоно (Antonio Buono) обнаружил способ, позволяющий создавать самовоспроизводящееся вредоносное ПО с помощью встроенной функции Microsoft Office.

Использование самовоспроизводящегося ПО, позволяющего макросам писать еще больше макросов, не является чем-то новым. С целью защитить своих пользователей от подобной угрозы Microsoft даже реализовала в Office механизм безопасности, ограничивающий данный функционал. Тем не менее, Буоно обнаружил простой способ обхода ограничений, с помощью которого злоумышленники могут создавать самовоспроизводящееся вредоносное ПО и скрывать его за безобидным на первый взгляд документом Word.

Исследователь сообщил Microsoft об обнаруженной проблеме в прошлом месяце. Компания отказалась признавать ее уязвимостью, хотя злоумышленники, похоже, уже эксплуатируют ее. Согласно недавнему отчету Trend Micro, киберпреступники взяли на вооружение новое самовоспроизводящееся вымогательское ПО qkG на основе макросов, использующее описанный Буоно способ.

По данным Trend Micro, qkG был загружен на VirusTotal кем-то из Вьетнама и больше похож на экспериментальный проект или PoC-код, чем на полноценную вредоносную программу. ПО использует технику Auto Close VBA macro, позволяющую выполнять вредоносные макросы, когда жертва закрывает документ.

Microsoft деактивировала по умолчанию внешние (недоверенные) макросы и сделала возможным для пользователей при необходимости включать доверенный доступ к проектам VBA вручную. При активированном доверенном доступе Office доверяет всем макросам и автоматически запускает любой код без уведомления безопасности и разрешения пользователя.

По словам Буоно, включить или отключить доверенный доступ можно путем внесения изменений в реестр Windows. Таким образом можно заставить макросы писать больше макросов без ведома жертвы.

Источник

Автор: Сергей Куприянов
24.11.2017 (19:28)
Пройди тест и узнай об этом!
Информер новостей
Расширение для Google Chrome
Пишите нам

Редакция: info@alterprogs.ru

Реклама: adv@alterprogs.ru

Все права защищены © 2010-2017

"Alterprogs.ru" - технологии будущего

Контакты  | Карта сайта

Использование любых материалов, размещенных на сайте, разрешается при условии ссылки на alterprogs.ru. Для интернет-изданий - обязательна прямая открытая для поисковых систем гиперссылка. Ссылка должна быть размещена в независимости от полного либо частичного использования материалов. Материалы в рубрике "Новости партнеров" публикуются на правах рекламы.