• О проекте
  • Услуги
  • Заказать услугу
  • Новости
  • Блог
  • Глоссарий
  • Акции
  • Контакты
  • Новости

    Mac и Windows «под прицелом» нового вредоноса

    Сотрудникам Fortinet удалось выявить Word-файл с зловредным VBA кодом, посредством которого можно загружать целевое вредоносное ПО на разные ОС.

    По аналогии с другими зловредами такого типа, документ после открытия провоцирует юзера включить макрос. Если макрос включается, VBA-код начинает исполняться, после чего в автоматическом порядке вызывается функция AutoOpen(). Она позволяет считывать значение свойства Comments doc-файла, закриптованного по base64. Выяснилось, что в основе всего лежит скрипт, созданный на Python, который по-разному работает на OS X и Windows.

    На Apple устройствах, как известно, поставляется предустановленный Python, поэтому срипты по дефолту исполняются на OS X. Способ заражения выглядит прямолинейно: интегрированный Python-скрипт с неизвестного адреса загружает другой скрипт, который исполняется и связывается с хакерским сервером. Загружаемая часть кода, по утверждению экспертов, является обновленной вариацией нагрузки Meterpreter, которую осенью 2015-го добавили в Metasploit фреймворк.

    Mac и Windows «под прицелом» нового вредоноса

    Если говорить о Meterpreter, то речь идет о расширяемом модуле, который пользуется методикой ступенчатых dll инъекций из памяти. Применяют эту разработку для тестирования на проникновение, также её начали использовать киберпреступники. Использование нагрузки было замечено группой GCMAN, а также хакерами, оперирующими «бесфайловым» вредоносом.

    Более сложным считается сценарий для Windows. Powershell скрипт извлекается из информации, закриптованной по base64. Затем он разворачивает остаток кода, в котором находится еще один скрипт. После выполнения последнего, из интернета загружается dll-библиотека 64-битная, которая может обмениваться с «вражеским» сервером. Работает эксплоит на машинах с 64-битным Windows.

    Совершенно нетрудно догадаться о методах распространения такого вредоноса, но понять, кто является их владельцем, еще не удалось. Сотрудник FortiGuard, Пэй Сьэ Ли, отмечает, что в ходе анализа одного из образцов эксперты смогли увидеть, что и на OS X, и на Windows предпринимались попытки открытия сессии TCP, но хакерский сервер не ответил ни разу. Каждый раз с помощью программы Wireshark фиксировалась ошибка соединения TCP.

    Операционку от Apple не впервой атакуют макрос-вредоносы, но появляться они стали не так давно. Эксперты из Synack, например, в прошлом месяце поведали о похожей находке, но зловредный макрос в том случае работал только на машинах с OS X. Вредонос в процессе активации расшифровывал информацию и исполнял python-код из хакерского проекта EmPyre.

    Описанное выше явление опасно тем, то вредонос атакует разные ОС, а значит макро-код в будущем может чаще задействоваться в различных целях киберпреступниками.