08.01.2015, 10:40
Kilka dni temu Microsoft Malware Protection Center (MMPC) opublikowało komunikat o wzrastającym zagrożeniu ze strony tzw. makr. "Makra" lub inaczej "makropolecenia" to niesamodzielne (uruchamiane w innych okreśłonych aplikacjach) skrypty, będące listą poleceń/czynności zmierzających do osiągnięcia określonego celu, jakim w programach biurowych jest najczęściej przyspieszenie/ułatwienie/automatyzacja pracy, którą użytkownik ma do wykonania. Są popularne i stosowane często przez bardziej zaawansowanych użytkowników, niemniej niosą od dość dawna zagrożenie, jakim jest wykorzystanie w celu dokonania ataku na system...dlatego też Microsoft ustawił na "blokuj" opcję ich automatycznego uruchamiania. Swoje ustawienia makr można sprawdzić pakiecie Office w poleceniu Narzędzia/Makro/Zabezpieczenia..., a przykładowy screen poniżej
MMPC wskazuje na statystyki, które pokazują gwałtowny wzrost w ostatnim czasie ilości fałszywych/niebezpiecznych wiadomości e-mail, które próbują wykorzystać inżynierię społeczną w celu pobrania i uruchomienia makr, będących dalej droga infekowania maszyn użytkowników - dwa najbardziej rozpowszechnione makra to TrojanDownloader:W97M/Adnel i TrojanDownloader:O97M/Tarbir.
Spam wykorzystuje następujące słowa kluczowe
ACH Transaction Report
DOC-file for report is ready
Invoice as requested
Invoice - P97291
Order - Y24383
Payment Details
Remittance Advice from Engineering Solutions Ltd
Your Automated Clearing House Transaction Has Been Put On
natomiast Adnel i Tarbir wykorzystują załączniki, które są dokumentami MS Office i mogą mieć następujące nazwy
20140918_122519.doc
813536MY.xls
ACH Transfer 0084.doc
Automated Clearing House transfer 4995.doc
BAC474047MZ.xls
BILLING DETAILS 4905.doc
CAR014 151239.doc
ID_2542Z.xls
Fuel bill.doc
ORDER DETAILS 9650.doc
Payment Advice 593016.doc
SHIPPING DETAILS 1181.doc
SHIP INVOICE 1677.doc
SHIPPING NO.doc
Fałszywe wiadomości, sugerując jakieś informacje związane z finasami/rachunkami/potencjalnym zyskiem zachęcają do otwarcia załącznika, który od razu wyrzuca komunikat o konieczności otwarcia makra...jego otwarcie natomiast skutkuje ingerencją w system i otwarciem dostępu do niego finalnemu szkodnikowi. Żeby było bardziej interesująco, a przy tym zaskakująco dla użytkownika zdarza się również trik z pustym dokumentem...to po to, by użytkownik nabrał przekonania, że dopiero po uruchomieniu makra zobaczy właściwą treść.
Przypuszczam, że może to dotyczyć również innych pakietów biurowych (lub samodzielnych programów), które są ustawione jako domyślne aplikacje od otwierania/edycji dokumentów MSO, ale to niepotwierdzone informacje.
Źródło
[Aby zobaczyć linki, zarejestruj się tutaj]
MMPC wskazuje na statystyki, które pokazują gwałtowny wzrost w ostatnim czasie ilości fałszywych/niebezpiecznych wiadomości e-mail, które próbują wykorzystać inżynierię społeczną w celu pobrania i uruchomienia makr, będących dalej droga infekowania maszyn użytkowników - dwa najbardziej rozpowszechnione makra to TrojanDownloader:W97M/Adnel i TrojanDownloader:O97M/Tarbir.
[Aby zobaczyć linki, zarejestruj się tutaj]
Wzrost ilości szkodników na przestrzeni roku 2014[Aby zobaczyć linki, zarejestruj się tutaj]
Rozkład szkodliwych makr wg krajówSpam wykorzystuje następujące słowa kluczowe
ACH Transaction Report
DOC-file for report is ready
Invoice as requested
Invoice - P97291
Order - Y24383
Payment Details
Remittance Advice from Engineering Solutions Ltd
Your Automated Clearing House Transaction Has Been Put On
natomiast Adnel i Tarbir wykorzystują załączniki, które są dokumentami MS Office i mogą mieć następujące nazwy
20140918_122519.doc
813536MY.xls
ACH Transfer 0084.doc
Automated Clearing House transfer 4995.doc
BAC474047MZ.xls
BILLING DETAILS 4905.doc
CAR014 151239.doc
ID_2542Z.xls
Fuel bill.doc
ORDER DETAILS 9650.doc
Payment Advice 593016.doc
SHIPPING DETAILS 1181.doc
SHIP INVOICE 1677.doc
SHIPPING NO.doc
Fałszywe wiadomości, sugerując jakieś informacje związane z finasami/rachunkami/potencjalnym zyskiem zachęcają do otwarcia załącznika, który od razu wyrzuca komunikat o konieczności otwarcia makra...jego otwarcie natomiast skutkuje ingerencją w system i otwarciem dostępu do niego finalnemu szkodnikowi. Żeby było bardziej interesująco, a przy tym zaskakująco dla użytkownika zdarza się również trik z pustym dokumentem...to po to, by użytkownik nabrał przekonania, że dopiero po uruchomieniu makra zobaczy właściwą treść.
Przypuszczam, że może to dotyczyć również innych pakietów biurowych (lub samodzielnych programów), które są ustawione jako domyślne aplikacje od otwierania/edycji dokumentów MSO, ale to niepotwierdzone informacje.
Źródło
[Aby zobaczyć linki, zarejestruj się tutaj]
Dodatkowe informacje[Aby zobaczyć linki, zarejestruj się tutaj]
[Aby zobaczyć linki, zarejestruj się tutaj]
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"