Menu dostępności

Powrót złośliwych makr w dokumentach Word i Excel

Zespół ASEC zajmujący się analizą malware, potwierdził niedawno, że pliki dokumentów MS Office z określonym typem złośliwego makra są stale dystrybuowane jako phishing. Dostarczane są między innymi w Chinach i Korei pod różnymi nazwami, jak pokazano poniżej. Wszystkie zawierają treści podszywające się pod legalne pliki, dlatego użytkownicy muszą zachować wysoką czujność i ostrożność.

  • Constitution Day International Academic Forum.doc
  • 28th North Korea-South Korea Relations Experts Discussion***.doc
  • Honorarium Template.doc
  • email_20210516.xls
  • email_20210414.xls

Niedawno odkryte pliki Excela zawierają datę dystrybucji w swoich nazwach, takie jak „email_20210516.xls”. Dodatkowo, osoby atakujące dodały również informacje o krajowych firmach jako znak wodny oraz stopkę na dole stron, aby dodatkowo zwiększyć wiarygodność dokumentów.

Gdy użytkownicy klikną opcję „Enable Content”, pojawi się okno do wpisania numeru z otrzymanej wiadomości e-mail, dzięki czemu plik będzie wyglądał jak normalny, zabezpieczony dokument, który żąda od użytkowników wprowadzenia 6-cyfrowego kodu. Jeśli nie zostanie wprowadzona 6-cyfrowa liczba, ponownie pojawi się wyskakujące okienko.

Po kliknięciu „Enable Content” złośliwe makro jest automatycznie uruchamiane. W tym przypadku makro to polecenie Powershell, które łączy się z adresem hxxp://manstr.myartsonline.com/pc/kj[.]txt w celu pobrania i uruchomienia dodatkowych skryptów.

Każdy z powyżej wymienionych złośliwych załączników używa takiego samego kodu makra. Nazwy zmiennych i formaty używane w kodzie są takie same. Różne są tylko adresy serwerów C2, z których pobierany jest ładunek.

Ten sam atakujący prawdopodobnie rozpowszechniał zarówno pliki Excel, jak i pliki Word, ponieważ każdy z nich pobiera skrypt, który wykonuje dokładnie te same zachowania związane z wyciekami informacji o użytkowniku, pobieraniem dodatkowych skryptów itp. Poniżej przedstawiono skrypt potwierdzony z C2 (hxxp://warms. atwebpages.com/rh/ee[.]txt):

Jego funkcje obejmują kradzież informacji o komputerze użytkownika i pobieranie dodatkowych plików. Skrypt zbiera informacje z poniższej listy, zapisując zebrane dane w pliku %APPDATA%\Ahnlab\Ahnlab.hwp i przesyłając je do hosta hxxp://warms.atwebpages.com/rh/post[.]php :

  • ostatnio używane pliki i programy
  • lista zainstalowanych aplikacji
  • informacje o systemie (zrzut z systeminfo)
  • lista zaplanowanych zadań

Następnie skrypt pobiera określony ciąg z adresu URL hxxp://warms.atwebpages.com/rh/ee.down, dekoduje go i uruchamia w tle za pomocą polecenia „Start-Job –ScriptBlock”. Ponadto próbuje utworzyć rejestr o nazwie Alzipupdate w HKCU:\SOFTWARE\Microsoft\Windows\CurrentVersion\Run.

Zespół specjalistów nie mógł potwierdzić późniejszego działania kodu, ponieważ podany adres URL jest niedostępny. Jednak w tej samej domenie wykryto następny złośliwy skrypt, którego działanie jest jeszcze bardziej ukrywane w systemie oraz pobiera on jeszcze bardziej wrażliwe informacje. Kompleksowa analiza zachowania malware tutaj.

Na koniec, wykonywane jest polecenie, aby zapisać zebrane informacje do %AppData%\OneDriver\out\PI_001.dat, a następnie wysyłać je mailem do flower9801@hanmail[.]net :

Oprócz kilku plików wymienionych na początku artykułu, zauważono wiele innych i na pierwszy rzut oka niepodobnych do siebie dokumentów Word i Excel. Zawartość ich makr jest jednak taka sama lub analogiczna, co świadczy o tym, że są tworzone i dystrybuowane przez tego samego aktora.

O złośliwych makrach pisaliśmy już w naszych wcześniejszych artykułach. Ponieważ po uruchomieniu makra, zazwyczaj dokumenty prezentują swoją dodatkową zawartość, to ciężko jest ustalić użytkownikom, że rzeczywiście były złośliwe. Powinniśmy zachować ostrożność i powstrzymać się od otwierania plików z nieznanych źródeł. Zwłaszcza gdy zachęcają do uruchomienia makr poprzez wyskakujące okienka!

Popularne

Masowy wyciek danych PayPal – 15,8 miliona haseł w rękach cyberprzestępców

Masowy wyciek danych PayPal – 15,8 miliona haseł w rękach cyberprzestępców

16 sierpnia br. na forum cyberprzestępczym pojawiła się oferta sprzedaży ogromnej bazy danych, zawierającej ponad 15,8 miliona par adresów e-mail i haseł w formacie jawnego tekstu powiązanych z konta...
Groźna dziura w Microsoft IIS. Deserializacja usług może prowadzić do zdalnego wykonania kodu

Groźna dziura w Microsoft IIS. Deserializacja usług może prowadzić do zdalnego wykonania kodu

W połowie sierpnia 2025 roku ujawniono poważną lukę bezpieczeństwa w narzędziu Microsoft Web Deploy 4.0, używanym do publikacji aplikacji webowych na serwerach IIS. Luka – oznaczona jako CVE-2025-53772 – pozwal...
Nieznany exploit RCE dla Windows 10/11 i Server 2022 na sprzedaż. Czy konto SYSTEM jest już na wyciągnięcie ręki?

Nieznany exploit RCE dla Windows 10/11 i Server 2022 na sprzedaż. Czy konto SYSTEM jest już na wyciągnięcie ręki?

W świecie cyberbezpieczeństwa nic nie budzi większego niepokoju niż niezałatana luka typu zero-day, dająca możliwość wykonania zdalnego kodu bez żadnej interakcji ze strony użytkownika. Na czarnym ry...
Wyciek kodu źródłowego trojana bankowego ERMAC V3.0

Wyciek kodu źródłowego trojana bankowego ERMAC V3.0

Świat cyberbezpieczeństwa odnotował kolejne znaczące wydarzenie – ujawniono pełny kod źródłowy zaawansowanego trojana bankowego ERMAC V3.0, stworzonego z myślą o urządzeniach z systemem Android i działające...
Miliony laptopów Dell narażone na kompromitację

Miliony laptopów Dell narażone na kompromitację

Niedawno pisaliśmy o kłopotach Lenovo, dzisiaj czas na Dell. Okazuje się, że pięć luk w oprogramowaniu ControlVault3 i powiązanych interfejsach API systemu Windows naraża miliony laptopów na trwałe w...