Эксперты компании Mimecast обнаружили активность вредоноса LimeRAT, который может устанавливать бэкдоры на зараженные машины, шифровать файлы таким же образом, как это делают обычные вымогатели, добавлять компьютеры в ботнеты, а также устанавливать на них майнеры криптовалюты.
Кроме того, этого модульный троян способен распространяться через подключенные USB-накопители, удалять себя при обнаружении виртуальной машины, блокировать экран и похищать различные данные, которые затем передаются на управляющий сервер злоумышленников.
Но исследователи отмечают, что наиболее интересным в данной кампании оказался способ распространения LimeRAT. Вредонос распространяется при помощи фишинговых писем, к которым приложены документы Excel, доступные только для чтения, но не заблокированные.
Злоумышленники вспомнили про старую уязвимость в таких файлах. Дело в том, что еще в 2013 году стало известно, что при установке пароля «VelvetSweatshop» Excel-файлы шифруются, но потом открываются в Excel без ввода пароля. И это идеальный вариант для атакующих, так как Excel по умолчанию проверяет пароль «VelvetSweatshop» на всех зашифрованных файлах.
Напомню, что еще тогда предполагалось, что этот пароль был внедрен программистами Microsoft в качестве шутки, и они не предполагали, что его обнаружат. Фраза «velvet sweatshop» дословно переводится как «бархатное/мягкое потогонное производство». Можно предположить, что этот пароль характеризует условия работы в Microsoft.
Теперь про «VelvetSweatshop» вспомнили авторы LimeRAT. Как правило, если расшифровка с помощью пароля по умолчанию не удается, тогда пользователя просят ввести пароль от файла. Однако режим только для чтения позволяет обойти это ограничение, тем самым сокращая количество этапов, необходимых для компрометации компьютера.
«Для злоумышленников преимущество режима “только для чтения” в Excel заключается в том, что он не требует ввода данных пользователем, и Microsoft Office не будет генерировать никаких диалогов с предупреждениями, не считая того, что файл будет доступен только для чтения», — объясняют исследователи.
Стоит отметить, что ранее еще эксперты компании Sophos отмечали, что данная уязвимость продолжает использоваться даже спустя многих лет и представляет собой действительно интересный случай.