Вредоносные макросы в документах используются для распространения малвари уже более десяти лет, хотя на какое-то время эта техника утратила популярность, когда разработчики Microsoft отключили макросы по умолчанию в Office 2007. Несколько лет назад макросы вернулись, так как злоумышленники додумались комбинировать их с простейшими приемами социальной инженерии. Но все это время атакам подвергались пользователи Windows.

Патрик Вордл (Patrick Wardle) из компании Synack рассказал о появлении малвари для macOS, которая тоже полагается на вредосноные макросы. Исследователю передали вредоносный документ, замаскированный под некий отчет, связанный с победой Дональда Трампа на президентских выборах в США. Файл назывался U.S. Allies and Rivals Digest Trump’s Victory - Carnegie Endowment for International Peace.docm, и проверка через VirusTotal дала следующий результат.

При попытке открыть документ, появилось предупреждение «этот документ содержит макросы», а также предложение включить их.

Чтобы извлечь встроенный в файл макрос, Вордл воспользовался clamAV sigtool. Так исследователь обнаружил код на Python, созданный для проведения ряда проверок на машине жертвы перед выполнением вредоносного пейлоада. По сути, после открытия документа происходит следующее: малварь убеждается, что LittleSnitch неактивен, затем с адреса hxxps://www.securitychecking.org:443/index.asp скачивается зашифрованный пейлоад, затем он расшифровывается с помощью жестко закодированного ключа и выполняется.

К сожалению, изучить сам вредонос не удалось, так как указанная ссылка на момент проведения исследований уже не работала. Однако Ворд выяснил, что связанный с ней IP-адрес ведет в Россию, а значит во всем, в очередной раз, виноваты уже почти ставшие нарицательным «русские хакеры».

Исследователь пишет, что обнаруженный им код, похоже, был позаимствован из опенсорсного фреймворка EmPyre. Вордл убежден, что использование EmPyre позволяет злоумышленникам закрепиться в системе, для чего, вероятно, используются cronjob, dylib hijack, launch daemon или login hook. В теории это может дать атакующим возможность выполнить самые разные вредоносные действия: сделать дамп keychain, получить доступ к микрофону и камере, добраться до истории браузера и так далее.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    1 Комментарий
    Старые
    Новые Популярные
    Межтекстовые Отзывы
    Посмотреть все комментарии