Η διανομή εγγράφων του Word που περιέχουν κακόβουλες μακροεντολές, είναι μια δημοφιλής μέθοδος που αξιοποιείται από εγκληματίες του κυβερνοχώρου κατά τη διάρκεια των τελευταίων μηνών, με σκοπό τη μόλυνση υπολογιστικών συστημάτων.
Οι επιτιθέμενοι εξελίσσουν τώρα τη μέθοδο αυτή, χρησιμοποιώντας ειδικά διαμορφωμένα έγγραφα του Word για τη διανομή fileless malware, το οποίο φορτώνεται απευθείας στη μνήμη του υπολογιστή.
Οι ερευνητές ασφαλείας της Palo Alto Networks ανέλυσαν μια πρόσφατη εκστρατεία επιθέσεων, κατά την οποία αποστέλλονται spam emails με κακόβουλα έγγραφα του Word σε εταιρείες και επιχειρήσεις των ΗΠΑ, του Καναδά και της Ευρώπης.
Στα μηνύματα αυτά εμπεριέχονται τα ακριβή ονόματα των παραληπτών, καθώς και συγκεκριμένες πληροφορίες σχετικά με τις επιχειρήσεις στις οποίες αυτοί εργάζονται, κάτι το οποίο δεν συνηθίζεται στις καμπάνιες spam. Το γεγονός αυτό προσδίδει μεγαλύτερη αξιοπιστία στα μηνύματα και αυξάνει τις πιθανότητες να διαβαστούν τα συνημμένα έγγραφα, αναφέρουν οι ερευνητές.
Τα έγγραφα αυτά περιέχουν μακροεντολές, οι οποίες όταν εκτελεστούν, τρέχουν ένα κρυφό instance του powershell.exe και εκμαιεύουν πληροφορίες σχετικά με το σύστημα του θύματος.
[alert]Το PowerShell είναι ένα εργαλείο αυτοματοποίησης και διαχείριση εργασιών της Microsoft το οποίο περιλαμβάνεται στα Windows από προεπιλογή και έρχεται με τη δική του γλώσσα scripting.[/alert]
Στη συγκεκριμένη περίπτωση, οι επιτιθέμενοι αξιοποιούν το PowerShell για να ελέγξουν αν το λειτουργικό σύστημα είναι σε 32-bit-η ή 64-bit-η έκδοση, ώστε να κατεβάσουν ένα πρόσθετο PowerShell script ανάλογα με την αρχιτεκτονική του OS.
Το αδίστακτο script αναζητά και συλλέγει πληθώρα στοιχείων από τους μολυσμένους υπολογιστές. Σε πρώτο χρόνο, προσπαθεί να προσδιορίσει αν το περιβάλλον είναι virtual machine ή sandbox, που χρησιμοποιούνται συνήθως από τους αναλυτές malware. Στη συνέχεια σαρώνει το network configuration για τον εντοπισμό στοχευμένων λέξεων κλειδιών όπως “σχολείο”,”νοσοκομείο”, “κολέγιο”, “υγεία” κ.ο.κ. Τέλος πραγματοποιείται σκανάρισμα των cached urls για τον εντοπισμό ιστοσελίδων του χρηματοοικονομικού τομέα.
Σύμφωνα με τους ερευνητές της Palo Alto, ο στόχος των ελέγχων αυτών είναι ο εντοπισμός συστημάτων που χρησιμοποιούνται για τη διεξαγωγή οικονομικών συναλλαγών και η αποφυγή συστημάτων που ανήκουν σε ερευνητές ασφάλειας, καθώς και σε ιατρικά και εκπαιδευτικά ιδρύματα.
Τα συστήματα που πληρούν τις παραπάνω προϋποθέσεις γίνονται flagged και αποστέλλονται στο διακομιστή διοίκησης και ελέγχου. Για τα συστήματα αυτά το script κατεβάζει ένα κακόβουλο κρυπτογραφημένο αρχείο DLL και το φορτώνει στη μνήμη.
“Λόγω των προσωποποιημένων πληροφοριών που περιέχονται μέσα στα μηνύματα spam και αλλά και λόγω της χρήσης malware που φορτώνεται στη μνήμη του υπολογιστή, η συγκεκριμένη καμπάνια θα πρέπει να αντιμετωπιστεί ως καμπάνια υψηλού κινδύνου”, τονίζουν οι ερευνητές της Palo Alto.
