Опасные документы: как киберпреступники используют текстовый редактор Word для атаки

[BOOX]

Каждый, кто пользуется компьютером, хоть раз сталкивался с Microsoft Word: многие компании до сих пор используют его в качестве основного инструмента для работы с текстами.


Но не все файлы безопасны. Повсеместное использование Microsoft Word в рабочей среде и на домашних компьютерах дает киберпреступникам широкие возможности для проведения атак. В статье рассказываем, как киберпреступники манипулируют данными в документах Word, чтобы нанести вред, и каким образом можно защититься от подобных угроз.

Какие угрозы несут файлы Word​

Типовые атаки с использованием текстового редактора бывают двух видов: когда файл Word содержит макросы, и когда злоумышленники обнаруживают уязвимость нулевого дня в Microsoft Word и создают эксплойты.

Макросы​

Макросы — полезный инструмент, который позволяет автоматизировать некоторые операции при работе с документами. Но киберпреступники уже давно научились использовать макросы для атак: они встраивают свои скрипты в файлы Microsoft Office. При открытии документа на компьютер жертвы автоматически скачивается и устанавливается зловредное ПО, например, вирус-вымогатель. Если устройство подключено к внутренней сети, то может произойти заражение всей системы.

Word-файлы могут нанести вред ПО только, если заранее содержат вредоносный код или макросы. Разберем несколько таких сценариев:

Сотруднику на почту пришло письмо как будто от заказчика с Word-документом. Получатель по незнанию или из-за интереса загружает и открывает файл на рабочем компьютере, что запускает макрос автоматически, как будто вы нажали на кнопку. Но вместо того, чтобы выполнять полезные действия, эти вредоносные макросы позволяют хакерам:

1. установить вредоносное ПО, способное украсть ваши данные, деньги или взять под контроль вашу систему
2. удаленно управлять вашей системой;
3. вытащить конфиденциальную информацию, такую как номера кредитных карт, важные документы или бизнес-планы компании.

Метод с использованием макросов используется злоумышленниками в течение десятилетий и не теряет своей актуальности. Несмотря на все технические предосторожности, успех подобных атак возможен благодаря человеческому фактору.

Уязвимости нулевого дня​

Если в предыдущем случае защититься от атаки помогало отключение макросов, то позже злоумышленники нашли способ красть данные с использованием документов Word, но без макросов.

— Уязвимость самого Word. Хакеры обнаруживают дыры в ПО Microsoft Word. Эти дыры называются уязвимостями «нулевого дня», потому что производитель ПО еще не знает о них и не успел их исправить.

Хакеры могут использовать эти уязвимости, чтобы создать эксплойты. То есть, когда открывается документ Word, содержащий такой эксплойт, он может воспользоваться уязвимостью и запустить на компьютере вредоносный код, даже если ничего не нажимали и не скачивали.

В пример можно привести уязвимость в протоколе Dynamic Data Exchange (DDE), которую

Для просмотра ссылки необходимо нажать Вход или Регистрация

специалисты китайской компании Qihoo 360 Core Security в 2017 году. RCE-баг получил идентификатор CVE-2017-11826.

Злоумышленники узнали об уязвимости раньше, чем было выпущено обновление. В файл Word, Excel или RTF добавлялись целевые фишинговые подфайлы. После того как жертва открывала файл, загружался троян, и злоумышленник получал доступ к компьютеру жертвы. Подробно многоэтапный процесс заражения компьютера во время подобных атак с эксплуатацией уязвимости в протоколе DDE описали исследователи из

Для просмотра ссылки необходимо нажать Вход или Регистрация

и

Для просмотра ссылки необходимо нажать Вход или Регистрация

.

Позднее Microsoft выпустила обновление, закрывающее уязвимость. Однако в 2023 году «Лаборатория Касперского»

Для просмотра ссылки необходимо нажать Вход или Регистрация

, что уязвимость CVE-2017-11826 по-прежнему эксплуатируется, так как не все пользователи устанавливают обновления вовремя. Среди киберпреступников, которые использовали уязвимость в своих атаках — финансово мотивированные группы угроз

Для просмотра ссылки необходимо нажать Вход или Регистрация

.

Злоумышленники пошли дальше и нашли

Для просмотра ссылки необходимо нажать Вход или Регистрация

взломать компьютер жертвы, даже если та не открывает документ: достаточно предварительного просмотра. Для этого они используют критическую уязвимость Windows с идентификатором CVE-2023-21716, которую эксперты по безопасности оценили в 9,8 из 10 возможных баллов по шкале угроз.

Как защититься от атак через текстовые редакторы​

Для доставки малварей на целевое устройство злоумышленники используют, как правило, обычный фишинг и рассылают письма на электронную почту. Но, с появлением и повсеместным распространением мессенджеров документ «с начинкой» могут отправить и в чате.

Для того чтобы отличить вредоносный документ от легитимного, необходимо обратить внимание на следующие моменты: от кого получен документ, антивирусное сканирование и навязчивую просьбу включить макросы или режим редактирования. Также для «разоблачения» вредоносных документов можно использовать специализированные утилиты: пакет “decalage2/oletools”, “PDFiD” или “rtfdump” и подобные.

Признаки того, что документ несет угрозу:

• файл прислан от неизвестного отправителя;
• электронный адрес отправителя написан неверно;
• при открытии файл требует включить макросы или режим редактирования;
• документ имеет необычные расширения, например .docv или .derv.

Необходимо проверить вложения. Мошенники часто маскируют вредоносные файлы под безобидные форматы, такие как DOC, PDF, ZIP или RAR. Если вы не запрашивали и не ожидаете никакое письмо с документом, лучше его не открывать. Также обратите внимание на ссылки. Вредоносные письма могут содержать ссылки на вредоносные сайты или файлы. Если ссылка кажется подозрительной или ведёт на неизвестный ресурс, лучше воздержаться от перехода по ней.

Для защиты не забывайте соблюдать правила информационной гигиены:

• не открывайте вложения и ссылки в письмах от незнакомых или подозрительных отправителей.
• проверьте, правильно ли написан адрес почты знакомого вам отправителя, от которого пришло письмо.
• отключите автоматическую загрузку макросов.
• вовремя устанавливайте обновления ОС и антивирусного ПО.

Для защиты от атак через текстовые редакторы нужно отключить макросы по умолчанию. Если говорим о корпоративной сети, то важно корректно настроить групповые политики по работе с макросами. Помимо этого, использовать антивирусное ПО и EDR, антивирусную защиту почтовой системы и повышать осведомленность пользователей в вопросах «цифровой гигиены». Также необходимо не забывать об обновлениях ОС и ПО, которые устраняют актуальные уязвимости.

Интересно, что компания Microsoft, похоже, так и не определилась, как лучше защищать пользователь от файлов с макросами. Весной 2022 года компания выпустила обновление, в котором автоматическая загрузка макросов была отключена. Некоторые пользователи стали жаловаться, что не могут найти кнопку отключения этой функции. И уже летом 2022, вместо того, чтобы дать пользователям инструкцию, Microsoft откатила изменения, снизив безопасность. Позднее, поняв свою ошибку, компания все-таки вернула автоматическую блокировку и выпустила

Для просмотра ссылки необходимо нажать Вход или Регистрация

.

Заключение​

Информационная безопасность — это постоянная гонка между киберпреступниками и защитниками. Несмотря на появление новых технологий, злоумышленники активно пользуются и старыми методами. Понимание того, как киберпреступники могут использовать для атаки даже такие обыденные инструменты, как текстовые редакторы, поможет быть более бдительными и принимать меры предосторожности.

Обучение сотрудников, использование антивирусных программ и регулярное обновление системы безопасности — вот лишь несколько шагов, которые могут помочь защитить от подобных угроз в цифровом мире.

Для просмотра ссылки необходимо нажать Вход или Регистрация

 

[Собака]

Математика зла: редактор формул Word как плацдарм для заражения трояном Remcos​

Невинный клик по ссылке открывает дверь к тотальному контролю вашего устройства.

Эксперты компании Forcepoint

Для просмотра ссылки необходимо нажать Вход или Регистрация

новую схему распространения опасного трояна Remcos RAT. Теперь вредоносная программа проникает в компьютеры через обычные документы Microsoft Word, содержащие короткие ссылки.

Атака начинается с того, что пользователь получает письмо с вложением в формате «.docx». После скачивания и запуска файла потенциальная жертва обнаруживает внутри сокращённую веб-ссылку. При нажатии на эту ссылку происходит загрузка вредоносного ПО. Троян использует уязвимость в редакторе формул Word (CVE-2017-11882) для установки, а вредоносный код маскируется с помощью сложного шифрования.

Remcos RAT обладает широкими возможностями, позволяющими злоумышленникам получить полный контроль над заражённым компьютером. Троян может получать доступ к файловой системе, управлять процессами, создавать скриншоты, записывать звук и видео с микрофона и веб-камеры. Кроме того, он способен красть пароли и финансовые данные, а также устанавливать дополнительные вредоносные программы.

Признаки заражения могут включать появление странных программ, замедление работы компьютера, самопроизвольный запуск программ и окон. При подозрении на заражение необходимо немедленно проверить устройство антивирусом.

Чтобы защититься от подобных атак, следует соблюдать осторожность при работе с электронной почтой. Не открывайте вложения из писем от незнакомых отправителей и не переходите по подозрительным ссылкам. Важно регулярно обновлять программное обеспечение и антивирусные программы.

Хакеры постоянно совершенствуют методы атак, поэтому крайне важно оставаться бдительными. Внимательность к подозрительным письмам и файлам — ключевой фактор в защите ваших данных от киберугроз.

Для просмотра ссылки необходимо нажать Вход или Регистрация