Аналитики компании Votiro и специалисты портала Bleeping Computer предупредили, что скрытые майнеры могут работать не только на сайтах и через браузер. Вредоносный код JavaScript также может выполняться внутри документов Word, так как с недавнего времени Microsoft Word позволяет пользователям встраивать видеоролики непосредственно в файлы документов.

Эксперты израильской компании Votiro рассказывают, что вместе с iframe’ом видео в документ можно интегрировать скрытый майнер, который будет «добывать» Monero за спиной пользователя.

Специалисты объясняют, что встроить iframe в документ можно практически из любого источника, то есть белого списка «доверенных» сервисов или доменов нет. Хуже того, образующийся таким образом popup представляет собой усеченную версию браузера Internet Explorer.

В итоге злоумышленник может разместить видео на своем домене, убедившись, что наряду с роликом в документ встраивается криптоджекинговый скрипт для майнинга. Таким образом, когда жертва откроет вредоносный документ Word и запустит встроенное видео, IE также запустит майнера криптовалюты Monero. Исследователи создали два proof-of-concept документа Word демонстрирующие атаку в работе (12).

Специалисты Bleeping Computer отмечают, что такая атака, к счастью, вряд ли окажется выгодной для злоумышленников. Дело в том, что скрытый майнинг приносит ощутимую прибыль лишь в том случае, если пользователи проводят долгое время на зараженном майнером сайте. Именно поэтому криптоджекинговые скрипты чаще всего можно обнаружить на порносайтах, «пиратских» стриминговых ресурсах и так далее. Тогда как в данном случае время майнинга ограничено, и предварительно пользователя нужно убедить открыть документ Word и запустить видео.

Однако эксперты Votiro опасаются, что обнаруженная ими проблема может использоваться не только для скрытого майнинга. Специалисты предполагают, что злоумышленники могут использовать встраиваемый контент для добавления прямо в файлы Word фишинговых страниц, к примеру, сделав просмотр видеоролика доступным только для авторизованных пользователей (то есть вынудить жертву ввести учетные данные от какого-либо аккаунта).

Исследователи уведомили инженеров Microsoft о возможных проблемах, однако компания ожидаемо отказалась признавать данную функциональность проблемной. Согласно тестам, которые провели специалисты Bleeping Computer, после запуска встроенного в Word видео, многие антивирусные решения обнаруживают майнинговый скрипт и блокируют его работу. Так что если преступники все же начнут эксплуатировать эту функциональность для атак, хотя бы часть пользователей будет защищена.



6 комментариев

  1. joker2k1

    21.02.2018 at 23:07

    о времена. майнинг в ворде, doom в экселе

  2. Themistocles

    22.02.2018 at 13:36

    зачем они сделали это? зачем мне видео в текстовом документе?

    • dicto

      22.02.2018 at 15:29

      Как это «зачем»? Чтобы его можно было распечатать и посмотреть на бумаге, конечно же!
      Осталось только придумать бумагу, воспроизводящую видео.

  3. Kadist

    23.02.2018 at 16:17

    Не распечатал покадрово и перелистываешь пальцем 😉

  4. john_

    12.03.2018 at 06:56

    Мелкомягкие как всегда)) это не баг, а фича. Ниче исправлять не будем. Идёте #%*й 🖕🏻

Оставить мнение