Oto jeden z pierwszych makrowirusów, który infekuje komputery Apple

15 lutego, 2017
apple_macrovirus

Od czasu do czasu ostrzegamy naszych czytelników przed zagrożeniami ukrywającymi się pod postacią dokumentów Microsoft Office. Są to przede wszystkim makrowirusy, czyli nic innego jak polecenia makro napisane w języku programowania Visual Basic for Applications, który jest zaimplementowany w pakietach Office i które aktywują się po włączeniu chronionej zawartości.

Oto jeden z wielu przykładów takiego makrowirusa:

kredyt PEKAO
Polecenia makro zostaną aktywowane, jeśli użytkownik nabierze się na socjotechniczną wiadomość i „włączy zawartość” – tyle wystarczy, aby zainfekować system.

Makrowirusy są bardzo często spotykane. Ich głównym celem jest infekowanie systemów z rodziny Microsoft Windows. Dla przykładu wymieńmy ostatnie ataki, które mieliśmy okazję opisywać:

Opisywany poniżej przypadek jest o tyle ciekawy, że jest to jeden z pierwszych makrowirusów, które zostały opracowane dla systemu Mac OS.

warning
Zagrożenie ukrywa się w pliku o nazwie „S. Allies and Rivals Digest Trumpâs Victory – Carnegie Endowment for International Peace.docm”.

Warto zwrócić uwagę na rozszerzenie „.DOCM”:

1. W systemie Windows taki trik był opisywany przez ekspertów z Cisco Talos Group i z powodzeniem może być zastosowany dla wszystkich wersji MS Office:

Od czasu wprowadzenia formatów plików DOCX i DOTX, domyślne ustawienia pakietu Office nie pozwalają na automatyczne uruchamianie makr (zdjęcie powyżej). Ominięcie tej zależności okazało się trywialnie łatwe i zostało zauważone niedawno – czyli po 9 latach od wprowadzenia nowych formatów plików w pakiecie Microsoft Office 2007: jeśli rozszerzenie pliku DOCX zostanie zmienione na DOCM, to złośliwe makro scalone z plikiem nie zostanie wykonane automatycznie. Jednakże, jeśli przestępca utworzy nowy dokument DOCX, który będzie zawierał złośliwe polecenia makro, zapisze plik jako DOTM, po czym ponownie zmieni „ręcznie” rozszerzenie na DOCX lub DOTX i dostarczy taki plik na komputer ofiary, to jego otworzenie wyświetli błąd […]:

pasted image 0
[…], ale przy okazji zawarte w nim makra zostaną wykonane na komputerze ofiary – w tle i po cichu, bez wiedzy użytkownika.

Metoda ta działa także dla plików DOCM i DOTM przemianowanych na RTF, czyli dla formatu plików, które nigdy nie obsługiwały poleceń makro. Podobnie ma się sprawa z rozszerzeniem XLSX – jeśli zmieniony plik z XLSX z makrami na CSV zostanie otworzony przez pakiet Office, może to skutkować wykonaniem makr.

2. W systemie Mac OS jest „trochę lepiej”, bo przed uruchomieniem dokumentu, Office 2007 lub nowszy wyświetli komunikat z zapytaniem, czy włączyć obsługę makr, ale jeśli obsługa makr jest domyślnie włączona, to kod zostanie automatycznie uruchomiony.

Tak czy owak, zignorowanie zasad bezpieczeństwa skończy się:

  • Ekstrakcją wbudowanego złośliwego kodu.
  • Deobfuskacją (zdekodowaniem) kodu (zaszyfrowanym w base64 i napisanym w Pythonie), który:
    • sprawdzi, czy na komputerze Apple uruchomiony jest firewall LittleSnitch,
    • jeśli nie jest, to pobierze szkodliwy ładunek ze strony: hxxps://www[.]securitychecking.org:443/index.asp (adres IP 185.22.174.37 wskazuje na Rosję, co nie oznacza, że za atakami może stać osoba pochodząca z tego kraju – informacja ta mówi nam tylko to, że serwer znajduje się w Rosji),
    • rozszyfruje ładunek, który wykona złośliwy skrypt i uruchomi się jako daemon.
blockblock
Dopiero w ustawieniach crontab’a wyraźnie widać, że malware uruchomi skrypt „empyre.py”

Na obecną chwilę payload jest niedostępny, ale to nie oznacza, że nie pojawi się ponownie pod tym samym linkiem.

W efekcie tych wszystkich działań przestępca zdoła uzyskać zdalny dostęp do zainfekowanego komputera. A jak bardzo jest to niebezpieczne, nasi czytelnicy z pewnościa już to wiedzą.

W jaki sposób się chronić?

Zarówno użytkownicy Windows jak i Mac OS powinni pamiętać o kilku podstawowych zasadach:

  • Należy zawsze dokładnie analizować wiadomości od nieznanych nadawców.
  • Aby zminimalizować ryzyko zainfekowania komputera warto rozważyć całkowite wyłączenie poleceń makro w pakiecie Microsoft Office.
  • Instalacja porządnego oprogramowania antywirusowego także będzie bardzo dobrym pomysłem. Polecamy Bitdefender Antivirus for Mac.
  • W przedsiębiorstwach, w których komputery są podłączone do Active Directory warto wziąć pod rozwagę permanentne wyłączenie makr w obrębie całego systemu lub dla wybranych użytkowników (szczególnie księgowych, a nawet prezesów).

Czy ten artykuł był pomocny?

Oceniono: 0 razy

Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

guest
1 Komentarz
najstarszy
najnowszy oceniany
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]