Итальянский ИБ-эксперт из InTheCyber Антонио Буоно выявил способ, который дает возможность создавать самовоспроизводящиеся вредоносные программы посредством встроенного функционала Microsoft Office.
Применение самовоспроизводящихся программ, позволяющих макросам создавать еще больше новых макросов, не является новой методикой. Чтобы обеспечить защиту пользователей от этой угрозы, Microsoft внедрила в Office защитный механизм, который ограничивает данный функционал. Однако Буоно нашел простой способ обхода этих ограничений, который позволит хакерам разрабатывать самовоспроизводящиеся вредоносные программы и маскировать их под внешне безобидные документы Word.
Эксперт проинформировал Microsoft о своей находке в октябре. Корпорация отказалась признать эту проблему уязвимостью, но киберпреступники, вероятно, уже пользуются ею. Как указано в недавнем отчете Trend Micro, хакеры начали применять новую самовоспроизводящуюся вымогательскую программу qkG, созданную на базе макросов и работающую в соответствие с методикой, описанной Буоно.
Согласно информации Trend Micro, qkG была загружена на VirusTotal неким пользователем из Вьетнама и больше похожа на экспериментальную разработку и PoC-код, чем на полноценное вредоносное ПО. qkG задействует технику Auto Close VBA macro, которая дает возможность выполнять вредоносные макросы при закрытии документа пользователем.
Microsoft по умолчанию отключила внешние макросы и разрешила пользователям в ручном режиме активировать доверенный доступ к проектам VBA. Если доверенный доступ активирован, то Office включает все макросы и осуществляет автоматический запуск любого кода, не отображая уведомление безопасности и не запрашивая разрешение у пользователя.
Как утверждает Буоно, управлять доверенным доступом можно посредством изменений в реестре Windows. В результате можно сделать так, чтобы макросы скрытно от жертвы создавали больше макросов.
