На прошлой неделе ИБ-специалисты привлекли немалое внимание к проблеме, связанной с использованием технологии Microsoft Dynamic Data Exchange (DDE), которая позволяет одним приложениям Office загружать данные из других приложений Office. К примеру, таблица в файле Word может автоматически обновляться при каждом открытии файла, и данные будут «подтягиваться» из файла Excel.
По сути, DDE позволяет пользователю встроить в документ кастомное поле, в котором можно задать местоположение данных, которые следует подгружать. Проблема в том, что злоумышленники научились использовать DDE не для открытия других приложений Office, а для запуска командной строки и выполнения вредоносного кода.
Свои опасения по этому поводу озвучили эксперты компаний SensePost и Cisco Talos. Еще один невидимый специалист, Дэвид Лонгнекер (David Longenecker) опубликовал инструкцию, рассказывающую о том, как обнаружить DDE-атаки с помощью Windows Event Logs. ИБ-эксперт Дидье Стивенс (Didier Stevens), в свою очередь, обнародовал правила YARA, которые должны помочь исследователям обнаруживать вредоносные документы с DDE.
Теперь, неделю спустя, становится очевидно, что специалисты не зря предупреждали об опасности DDE. Эксперты Internet Storm Center сообщили, что одни из крупнейших ботнетов мира, Necurs, насчитывающий более 6 млн зараженных машин, начал эксплуатировать DDE для распространения шифровальщика Locky и банковского трояна TrickBot. К загрузке малвари традиционно приводит открытие вредоносных документов Office, приложенных к спамерским письмам, но теперь злоумышленники внедряют в документы не только макросы и Object Linking and Embedding (OLE), но и DDE.
Аналитики Trend Micro пишут, что Necurs также распространяет вредоносов посредством HTML вложений, документов Word, содержащих макросы или скрипты Visual Basic, файлов VBS, JS и JSE, скрывающихся в архивах RAR, ZIP и 7ZIP, и так далее.
Кроме того, была замечена еще одна вредоносная кампания, использующая DDE. В данном случае злоумышленники распространяют через зараженные документы Office загрузчик Hancitor, который затем используется для установки банковских троянов, спайвари, вымогательского ПО и других угроз.