Эксперт из компании SecureState, известный как Rascuache, выяснил, что фильтры Gmail для выявления вредоносных программ работают далеко не всегда. Киберпреступники могут обмануть фильтрацию путем разделения слов-триггеров на две части. Этот способ отлично подходит в случае с вредоносными макросами в документах Office.
Рассылка документов с вредоносными макросами является одним из главных и старейших методов распространения нежелательных программ. Хакеры обманом вынуждают пользователей открывать файлы, вложенные в письма, и разрешать в них работу макросов.
Почтовые службы уже давно проводят проверку документов на наличие таких элементов. Эксперт SecureState сообщает, что Gmail ведет в скриптах документов Office поиск конкретных слов. Основываясь на итогах данной процедуры, сервис делает выводы относительно безвредности документа. Например, по словам Rascuache, фильтр срабатывает на файлах Excel, содержащих слово powershell. Однако, разделив слова пополам или перенеся его части на разные строки, можно перехитрить фильтры почтовой службы. В результате они не распознают вредоносную программу.
Кроме того, Rascuache утверждает, что фильтры Gmail выявляют функцию workbook open внутри файлов Excel, но и в данном случае сервис можно без труда перехитрить. Нужно лишь спрятать код эксплоита под кнопку (Button_Click).
По словам исследователя, не следует полностью полагаться на встроенные фильтры почтовых служб. Простые изменения, внесенные в код, позволяют успешно доставить вредоносные письма получателям и сохранить внедренные в них программы незамеченными.