Вредоносные макросы в документах используются для распространения малвари уже более десяти лет, хотя на какое-то время эта техника утратила популярность, когда разработчики Microsoft отключили макросы по умолчанию в Office 2007. Несколько лет назад макросы вернулись, так как злоумышленники додумались комбинировать их с простейшими приемами социальной инженерии. Но все это время атакам подвергались пользователи Windows.

Патрик Вордл (Patrick Wardle) из компании Synack рассказал о появлении малвари для macOS, которая тоже полагается на вредосноные макросы. Исследователю передали вредоносный документ, замаскированный под некий отчет, связанный с победой Дональда Трампа на президентских выборах в США. Файл назывался U.S. Allies and Rivals Digest Trump’s Victory — Carnegie Endowment for International Peace.docm, и проверка через VirusTotal дала следующий результат.

При попытке открыть документ, появилось предупреждение «этот документ содержит макросы», а также предложение включить их.

Чтобы извлечь встроенный в файл макрос, Вордл воспользовался clamAV sigtool. Так исследователь обнаружил код на Python, созданный для проведения ряда проверок на машине жертвы перед выполнением вредоносного пейлоада. По сути, после открытия документа происходит следующее: малварь убеждается, что LittleSnitch неактивен, затем с адреса hxxps://www.securitychecking.org:443/index.asp скачивается зашифрованный пейлоад, затем он расшифровывается с помощью жестко закодированного ключа и выполняется.

К сожалению, изучить сам вредонос не удалось, так как указанная ссылка на момент проведения исследований уже не работала. Однако Ворд выяснил, что связанный с ней IP-адрес ведет в Россию, а значит во всем, в очередной раз, виноваты уже почти ставшие нарицательным «русские хакеры».

Исследователь пишет, что обнаруженный им код, похоже, был позаимствован из опенсорсного фреймворка EmPyre. Вордл убежден, что использование EmPyre позволяет злоумышленникам закрепиться в системе, для чего, вероятно, используются cronjob, dylib hijack, launch daemon или login hook. В теории это может дать атакующим возможность выполнить самые разные вредоносные действия: сделать дамп keychain, получить доступ к микрофону и камере, добраться до истории браузера и так далее.



1 комментарий

  1. f3B73A49

    10.02.2017 at 01:20

    ну выясняльщик то он ещё тот, достаточно посмотреть в domaintools там всё прекрасно расписано и сколько доменов на том же адресе и сколько адресов было сменено и какие ещё домены на нём висят

    Risk Score 100
    Email miward@yandex.com
    Registrant Org Michel Ward is associated with ~7 other domains
    Dates Created on 2016-12-08 — Expires on 2017-12-08 — Updated on 2017-02-07
    Domain Status Registered And No Website
    Whois History 34 records have been archived since 2015-06-25
    IP History 7 changes on 5 unique IP addresses over 13 years
    Hosting History 9 changes on 7 unique name servers over 14 years

Оставить мнение