Хакеры упрятали вредоносный код в макрокоманды MS Word
Добавлено: 25 дек 2014, 14:32
Эксперты компании PhishMe, специализирующейся на противостоянии фишинговым атакам, сообщили о раскрытом ими сценарии заражения систем с использованием документов Word. В одном из фишинговых писем специалисты PhishMe обнаружили документ под названием Financial Statement.doc. Предварительный его просмотр был невозможен, а при открытии после загрузки текст отображался нечетко. Возникавшее на экране уведомление извещало, что это мера безопасности для защиты конфиденциальных финансовых данных, и что для знакомства с документом нужно запустить так называемые макросы – макрокоманды MS Word.
В них, как выясняется, хакерам и удалось внедрить вредоносный код. Запуск макросов приводил в действие сложную цепочку процессов, в результате которой на компьютер пользователя загружалось вредоносное ПО. Точных данных о его характере пока нет, но, судя по всему, речь идет о банковском троянце с функцией клавиатурного шпионажа.
По мнению исследователя PhishMe Ронни Токазовски, эта техника призвана помочь избежать обнаружения зловреда защитным ПО. «Теоретически антивирусные системы могут обнаружить вредоносный код и в макросах, - говорит он, - Но такой документ все же будет идентифицирован как угроза с гораздо меньшей степенью вероятности, чем просто вредоносное вложение в письме».
В них, как выясняется, хакерам и удалось внедрить вредоносный код. Запуск макросов приводил в действие сложную цепочку процессов, в результате которой на компьютер пользователя загружалось вредоносное ПО. Точных данных о его характере пока нет, но, судя по всему, речь идет о банковском троянце с функцией клавиатурного шпионажа.
По мнению исследователя PhishMe Ронни Токазовски, эта техника призвана помочь избежать обнаружения зловреда защитным ПО. «Теоретически антивирусные системы могут обнаружить вредоносный код и в макросах, - говорит он, - Но такой документ все же будет идентифицирован как угроза с гораздо меньшей степенью вероятности, чем просто вредоносное вложение в письме».