Эксперты предупреждают, что злоумышленники ищут альтернативы отключённым макросам Microsoft Office.
Исследователи безопасности из ИБ-компании Для просмотра ссылки Войди
VSTO — это комплект для разработки ПО, входящий в состав Microsoft Visual Studio IDE. Он используется для создания надстроек VSTO, которые являются расширениями для приложений Office, способными выполнять код на компьютере.
Эти надстройки могут быть упакованы с файлами документов или загружены из удаленного расположения и выполняются при запуске документа с помощью связанного приложения Office (например, Word, Excel).
Полезная нагрузка хранится вместе с документом, обычно внутри ISO-контейнера. Злоумышленники делают эти дополнительные файлы «скрытыми», надеясь, что жертва их не заметит и решит, что архив содержит только документ.
Вредоносный документ и зависимости полезной нагрузки После запуска документа появляется запрос на установку надстройки. Хакеры могут обманом убедить жертву разрешить установку (аналогично всплывающему окну «включить содержимое», позволяющему выполнять вредоносные макросы).
Всплывающий запрос на установку надстройки В ходе одной атаки, нацеленной на пользователей в Испании, полезная нагрузка выполняла на компьютере закодированный и сжатый сценарий PowerShell.
В другом примере, в котором использовалась удаленная надстройка на основе VSTO, киберпреступники установили полезную нагрузку .DLL для загрузки защищенного паролем ZIP-архива и поместили его в папку «%\AppData\Local\». Deep Instinct не удалось получить окончательную полезную нагрузку из-за того, что на момент расследования сервер был отключен.
Чтобы показать, как VSTO может помочь хакеру доставить и запустить вредоносное ПО, а также добиться сохранения в системе, исследователи Для просмотра ссылки Войди
Исследователи Deep Instinct ожидают, что все больше злоумышленников будут интегрировать VSTO в свои атаки. Они считают, что «национальное государство и другие высококвалифицированные хакеры будут ухватятся за эту возможность, чтобы обойти механизм доверия Windows с помощью действительных сертификатов подписи кода.
- Источник новости
- www.securitylab.ru