В інтернеті виявлено новий вид вірусу, який потрапляє на комп'ютери користувачів через електронну пошту під виглядом файлу Word, передає Ukr.Media.
Подібний метод зловмисники практикують досить давно, однак ключовою особливістю вірусу стала повна відсутність макросів, чого раніше не траплялося. До цього під час відкриття заражених вкладень користувачі бачили попередження або спливаючі вікна. У випадку з новим вірусом такого не відбувається. За допомогою вірусу зловмисники можуть "викрадати" облікові дані з електронної пошти жертви, FTP і браузерів. Крім того, дослідники відзначили ще одну його особливість - багаторівневу природу атаки. Так, експерти Trustwave заявили, що вірус використовує комбінацію методів, які починаються з вкладення формату.DOCX. Жертви отримують на електронну пошту різні листи, пов'язані з фінансами. Усі виявлені фахівцями e-mail вміщували вкладення з ім'ям "receipt.docx".
Процес атаки з чотирма етапами починається з відкриття файлу.DOCX і запуску вбудованого OLE-об'єкта, що містить посилання. Це дозволяє посилатися на зовнішній доступ до віддалених OLE-об'єктів. За словами аналітиків, зловмисники користуються тим, що документи Word, створені за допомогою Microsoft Office 2007, використовують формат Open XML, який заснований на технологіях XML і ZIP-архівів. Тому такими файлами можна легко маніпулювати програмно або вручну.
Другий етап полягає у використанні Word-файлу для запуску завантаження файлу з розширенням RTF. Останній використовує уразливість редактора Office Equation Editor, закритого Microsoft у листопаді 2017 року.
Третій етап полягає в декодуванні тексту всередині RTF-файлу, який, зі свого боку, запускає командний рядок MSHTA, а він завантажує та відкриває HTA-файл. Останній містить скрипт PowerShell, який і виконує шкідливе ПО Password Stealer. Цей вірус викрадає облікові дані з програм електронної пошти, FTP та браузера.
Фахівці відзначили надзвичайно велику кількість етапів і сценаріїв, які використовує цей вірус. Крім того, файли DOCX, RTF та HTA рідко блокуються поштовими або мережевими шлюзами, на відміну від більш очевидних, таких як VBS, J або WSF. Тому вони закликають користувачів комп'ютерів не відкривати файли, отримані від невідомих відправників.
