макро скрипт

Хакерите могат да използват Google Sheets като вектор за разпространение на малуер, твърди Марко Рамили, основател на компанията за информационна сигурност Yoroi. Той дава пример със CSV файл, в една от клетките на който е въведена формула. Когато жертвата отвори файла, софтуерът му изпълнява формулата. Тя от своя страна сваля на компютъра му малуер.

На същия принцип действат т.нар. макро вируси, които се разпространяват най-често в DOC или XLS файлове. В тях има макро скрипт или VBS скрипт, който при отварянето на файла се активира и инсталира зловреден код на компютъра.

CSV файловете се отварят с Microsoft Excel (или алтернативни продукти като OpenOffice и LibreOffice), но предимството на описания от Рамили метод е, че не е необходимо да се използва макро скрипт. Вместо това инсталирането на малуера става с формула, скрита в една от клетките на CSV файла.

CSV файловете се използват сравнително често: например за поддържане и експортиране на списъци с контакти или от месинджъри като Viber за съхранение на хронология със съобщения. Ето защо не е нетипично за потребител да получи на пощата си файл с разширение CSV.

Атака със CSV файл може да мине незабелязано, ако файлът се отвори с Google Sheets. „Ами ако получите зловредния файл като документ в Google Sheets? Едва ли специалист по информационна сигурност ще отвори файл, изпратен от непознат източник. Но много други потребители се доверяват на Google Sheets, без въобще да се замислят кой стои зад споделения документ“, коментира Рамили. Той посочва, че с тази техника на практика се заобикалят филтрите на Google.

Рамили се е свързал с Google и е описал използваната техника. Екипът на компанията обаче е отговорил, че не счита това за уязвимост.

 

Приключващата 2018 г. ще бъде запомнена като годината на таргетираните кибератаки с рансъмуер. Ако преди няколко години престъпниците залагаха на масирани рансъмуер кампании, насочени към стотици хиляди потребителите, днес те предпочитат да атакуват отделни организации.

Тази тактика се отплаща. Всъщност това е най-печелившата форма на компютърно престъпление според доклад на английската компания за киберсигурност Sophos. Тя дава за пример SamSam – опостушителен рансъмуер, който през първата половина на 2018 г. парализира дейността на няколко държавни институции в САЩ.

Печалби за милиони

Авторите на SamSam са спечелили поне 6.5 млн. долара от началото на 2016 г. досега, показват данните на Sophos. Но което е по-важно: те създадоха нов доходоносен модел на компютърно престъпление, който вече се копира и от други престъпници.

Повечето видове рансъмуер искат като откуп суми между няколкостотин и хиляда долара. От появата си през 2016 г. SamSam вдигна мизата и  започна да иска между 10 и 50 хил. долара. Атакувайки слабозащитени машини и получавайки през тях достъп до цялата мрежа на организацията, престъпниците правят така, че жертвите да са склонни да си платят. „Атаката е толкова сериозна, че голяма част от жертвите предпочитат да платят откупа“, коментират от Sophos.

Този модел бързо се разпространи. Хакерите започнаха да атакуват конкретни институции срещу петцифрени и дори шестцифрени суми. Авторите на рансъмуера BitPaymer например искат суми от 50 хил. долара до 1 млн. долара. Заразените с Ruyk институции получават искане за суми от порядъка на 100 хил. долара.

Слабите места са навсякъде

Някога защитата от вируси беше сравнително проста. Достатъчно беше антивирусната програма да засече зловреден инсталационен файл и да му попречи да се инсталира или разпространи към други устройства в мрежата.

Сега инсталационният файл е само част от процеса на заразяване. Атаката може да започне с Word документ, прикачен в имейл. Сам по себе си документът е безобиден, но скритият в него макро скрипт сваля от интернет истинския малуер.

Някои видове рансъмуер имат функционалността на компютърни червеи. Други използват уязвимости в операционнаата система или определени софтуерни продукти.

Подобна сложност на атаките изисква комплексно решение за сигурност. То включва в себе си не само антивирусен софтуер, но и решение за политики за сигурност. С него могат да се налагат права и ограничения на всички устройства в мрежата, за да се намали риска от заразяване.

Вектор на атака са и слабозащитените устройства, използващи Remote Desktop Protocol (RDP). Хакерите ги откриват, получават достъп до тях, а така и до цялата мрежа на организацията. Успехът им се дължи основно на факта, че самите организации не защитават добре сървърите си. Достъпът до тях става с лесни за отгатване пароли, а допълнителни защитни мерки като многофакторна автентикация се използват рядко.

Всичко това показва, че бизнесът все още не е подготвен да се справи с таргетирани рансъмуер атаки. Превенцията изисква инвестиции в решения за сигурност, но преди всичко осъзнаване на мащабите на проблема. Докато това не се случи, престъпниците ще продължават да правят пари на гърба на чуждото нехайство.

Последен ъпдейт на 6 декември 2018 в 09:34 ч.

В началото на 2016 г. стотици хиляди потребители по цял свят получиха на служебните си имейли писмо със заглавие “Фактура” и прикачен към него документ за Word. Всеки опит да се отвори документа приключваше по един и същ начин: съдържанието на файла беше неразбираемо, а потребителят получаваше предупреждение да активира зареждането на макроси в Word, за да види какво има в документа.

Това обаче не беше нищо повече от социално инженерство. Потребителите, които последваха инструкциите, се заразиха с Locky – един от най-опасните криптовируси в световен мащаб.

Locky е пословичен пример за опасностите, които могат да се крият в един най – обикновен на пръв поглед Word документ или таблица за Excel. Това са файлове,с които всички бизнеси работят и които се разпращат масово по имейл. Хакерите използват този факт, за да разпращат зловредни файлове. В тях те скриват макро скриптове: код, написан на Visual Basic for Applications (програмен език). който при отварянето на документа сваля малуер на устройството на потребителя.

Макро вируси, макропроблеми

Макро скриптовете бяха гигантски проблем, затова от години зареждането им по подразбиране е забранено в Microsoft Office. Това намали честотата на атаки със зловредни .DOC и .XLS файлове. Въпреки това те все още представляват опасност и случаят с Locky го доказва.

Някои експерти по информационна сигурност определят макро вирусите като отживелица от 90-те години на миналия век. Но през 2016 г. американският държавен център за борба с киберзаплахите US-CERT излезе с предупреждение за ръст в случаите на макро вируси, засягащи организации и индивидуални потребители.