В конце прошлого месяца экспертам из компании SecureState удалось выяснить, что можно обойти фильтры Gmail, разделив ключевые слова в файле на две части. В результате вредоносная программа не будет выявлена защитными механизмами. Аналитиками Cisco обнаружена схожая техника маскировки вредоносного программного обеспечения. Злоумышленники могут обманывать фильтры, меняя расширение файла.
Причиной существования проблемы, которую обнаружили эксперты, является решение Microsoft поменять в Office 2007 набор форматов файлов, использовавшийся ранее, на новый, который основан на стандарте OfficeOpen XML. До Office 2007 во всех файлах Microsoft Office присутствовала встроенная поддержка макро-скриптов, которые выполнялись в автоматическом режиме. С выпусков Office 2007 появились новые форматы, некоторые из которых не содержат такой код. Например, в файлах форматов DOCX и DOTX нельзя выполнять макросы, а в DOCM и DOTM эта возможность доступна.
Эксперты Cisco обнаружили, что после изменения расширения файла с DOCX/DOTX на DOCM/DOTM в него уже невозможно добавлять вредоносные макросы и использовать их, поскольку MIME-тип файла не подходит для этих целей. При попытке открытия такого файла произойдет ошибка. Но при переименовании DOCM/DOTM в DOCX/DOTX, макрос не исчезнет из файла. При открытии подобного файла вредоносный макрос будет выполняться без сбоев.
По словам исследователей, эта техника атаки будет работать даже при изменении расширения файла с DOCM/DOTM на RTF несмотря на то, что в данном формате всегда отсутствовала поддержка макросов. Таким же образом XLSX-файлы могут быть преобразованы в CSV. Проблема скрыта в файле WWLIB.DLL, отвечающем за обработку файлов MIME-типов в Office.
В отчете Cisco указано, что данная тактика уже применяется злоумышленниками. Впервые этот механизм распространения вредоносных программ был выявлен в начале текущего года.