Макрозловреды пришли на macOS - Новости и Обзоры
интернет-защита
все антивирусы в одном приложении

Макрозловреды пришли на macOS

Вредоносное ПО на основе макрокода преодолело границу между платформами Windows и Mac. Кибергруппа, использующая российский IP-адрес в качестве C&C, распространяет документ Word с вредоносным макросом, который исполняется лишь на macOS.

Согласно хорошо известному сценарию, прикрепленный к письму документ снабжен привлекательным именем — в данном случае U.S. Allies and Rivals Digest Trump’s Victory — Carnegie Endowment for International Peace.docm (якобы очередной комментарий аналитиков Фонда Карнеги после победы Трампа). При попытке открыть вложение получателя просят включить макрос; если тот последует этой инструкции, запустится даунлоудер, который попытается загрузить дополнительный код с сайта атакующего.

«Это низкотехнологичное решение, однако оно использует легитимную функциональность и потому работает безотказно, в отличие от нарушения целостности памяти или переполнения буфера, — отметил директор по исследованиям Synack Патрик Уордль (Patrick Wardle). — Кроме того, это нельзя устранить патчем». Уордль и ряд других исследователей проанализировали поведение макроса и полезной нагрузки и опубликовали результаты в минувший понедельник.

«Хотя способ примитивен, он может оказаться весьма результативным, если приманка будет работать, — говорит Уордль. — Пользователей можно атаковать в любое время, потому, например, столь успешны программы-вымогатели. И макросы тоже работают по этой же причине. Я убежден, что они и есть самое слабое звено».

По свидетельству исследователей, данная атака работает лишь на Mac-версиях Word (попытки исполнения на Windows или в Pages, схожей с Word программе для Mac, потерпели неудачу). Защита Gatekeeper здесь бесполезна, так как этот механизм блокирует исполнение неподписанного кода, а макрос исполнится, так как пользователь сам выдал разрешение.

При активации макрос расшифровывает данные и исполняет их с помощью Python из open-source-проекта EmPyre. EmPyre — легитимный агент Mac/Linux для постэксплуатации, которым зачастую пользуются пентестеры. На первом этапе атаки компонент EmPyre в документе Word вызывает C&C, обращаясь к securitychecking[.]org[:]443/index[.]asp. Каков второй этап атаки, выяснить не удалось, так как этот сайт перестал отвечать.

«После запуска код в документе Word может загрузить и исполнить все что угодно, однако не исключено, что он загружает вторую часть агента EmPyre», — полагает Уордль. По свидетельству эксперта, второй стадией EmPyre является стойкий бэкдор для Mac, позволяющий выполнять ряд вредоносных действий, в том числе отслеживать посещения сайтов через браузер, включать веб-камеру, регистрировать нажатия клавиш и выгружать хэшированные данные.

Кто стоит за текущей кампанией, неясно, но, скорее всего, это преступная группа — в пользу этого предположения говорит использование макроса и инструмента с открытым исходным кодом. Домен securitychecking[.]org ранее ассоциировался с фишингом и загрузкой зловредов. «Похоже на то, что это обычные происки киберкриминала, — заключает Уордль. — Без особых изысков, просто пробный заброс, чтобы посмотреть, каков будет улов. Ничего сверхсложного, но если это сработает… Взять те же атаки вымогателей: они не используют 0-day, но уже приобрели масштаб эпидемии».

Сообщество Вконткте
обзоры антивирусов и программ безопасности
Комментарии и отзывы
Добавляя комментарий, ознакомьтесь с Правилами сообщества
Система Orphus