Pojawił się makrowirus VBA, uwaga na załączniki – powrót do korzeni

Na początku tego roku holenderskie Narodowe Centrum Bezpieczeństwa Cybernetycznego NCSC - National Cyber Security Center, holenderski CERT) wydało raport, który wskazywał na odrodzenie się wirusów makr poprzez wykorzystanie ich do ukierunkowanych ataków na firmy. W kwietniu, Gabor Szappanos, analityk z firmy Sophos na Węgrzech (Sophos jest producentem zaawansowanych zapór sieciowych oraz oprogramowania zabezpieczającego firmy), opublikował dokument, który zawierał informacje o wykorzystaniu makr w kampanii cyberprzestępczej Napolar (przypomnijmy, że trojan Napolar był napisany pod systemy Windows, posiadał wiele powłok maskowania do ukrywania payload’u, był wyposażony w funkcjonalność rootkita, a stosując haki, utrudniał analizę swojego wykrycia. W ładunku payload mógł wysyłać informacje o systemie do zdalnego serwera C&C i oczekiwać na instrukcje atakującego. Trojan był w stanie pobierać inne złośliwe pliki, modyfikować swoje dane konfiguracyjne, a nawet rozpocząć atak na system i usługi sieciowe – atak DDoS).

Makra początkowo były stosowane do zautomatyzowania i przyśpieszenia stałych, powtarzających się czynności. Dzisiaj wykorzystuje się je jako jeden z infektorów do szpiegowania użytkownika, kradzieży danych, przejęcia kontroli nad komputerem…

Dwa miesiące temu, Microsoft ogłosił odkrycie nowego trojana Miuref, który w przeglądarce wyświetlał reklamy i wymuszał kliknięcia (click-fraud). Trojan:JS/Miuref.A był przeznaczony dla przeglądarki Forefox, a Trojan:JS/Miuref.B dla Chrome. Oba trojany były kontrolowane przez atakujących, którzy mogli z wyników wyszukiwania przekierowywać użytkownika na kontrolowane przez siebie strony. Oba trojany zostały przeanalizowane przez Marion’a Marschalek’a-  badacza bezpieczeństwa z firmy Cyphort, który ustalił, że jeden plik był skompilowany przy użyciu języka C++, a drugi został spakowany przy użyciu packera Visual Basic 6 - języka skryptowego m.in do pisania makr. A skąd nazwa wirusa VBA? Od skrótu Visual Basic for Applications.

Tak więc, makrowirusy przez wiele lat były albo nieaktywne, albo stanowiły tak mały procent infekcji, że nie było o nich zbyt głośno. Obecnie makra domyślnie są wyłączone w nowych wersjach pakietu Office, co oznacza, że nie wykonują się automatycznie po otwarciu pliku doc, xlsx, w efekcie użytkownik nie jest narażony na infekcję (o ile posiada program antywirusowy).

źródło: Microsoft, ncsc.nl, Sophos 



Learn more about our offer

If you sell security solutions, are a distributor, authorized partner or developer and would like to share your portfolio with a group of potential customers, advertise an event, software, hardware or other services on AVLab - simply write to us. Or maybe you had to deal with ransomware? We can also help you decrypt your files.
Read more

We use Google Cloud Translation and Gengo API’s to translate articles with exception of our comparative tests.