Хакеры взяли на вооружение новый способ атаки, вовлекающий Dynamic Data Exchange (DDE) — устаревший, но до сих пор поддерживаемый Microsoft механизм, который позволяет одним файлам исполнять код, находящийся в других файлах. Благодаря DDE кибервзломщикам удалось спрятать в документ Microsoft Office троянца, который подгружает вредоносную программу из интернета. Первыми об атаке сообщили эксперты Trend Micro.
Когда пользователь открывает зараженный документ Word, спрятанный в файле код подключается к удаленному серверу, который находится под контролем хакеров, и скачивает оттуда вирус-разведчик Seduploader. Если окажется, что жертва представляет интерес для вирусописателей, троянец запустит в систему более опасные программы-шпионы X-Agent и Sedreco.
На следующий день после публикации Trend Micro компания Microsoft рассказала, как пользователи Office могут защититься от DDE-атак. Самый надежный способ: не подтверждать действия в подозрительных окнах, всплывающих при открытии документа. Продвинутые пользователи могут отредактировать реестр Windows и отключить автоматическое обновление данных в одном файле из другого.
Техника заражения Windows-компьютеров при помощи DDE не нова. Интерес к ней возродили эксперты SensePost, которые в прошлом месяце показали, как внутри Word-файлов может быть спрятано вредоносное ПО, незаметное для антивирусов.
С DDE-атаками связывают Fancy Bear (также известна как APT28) — хакерскую группировку, подозреваемую в связях с Кремлем. Как говорят аналитики, злоумышленники рассылают среди жертв зараженный документ IsisAttackInNewYork.docx, в котором якобы содержится информация о недавнем теракте в Нью-Йорке. Ранее именно на Fancy Bear американские спецслужбы возложили ответственность за взлом серверов Национального комитета Демократической партии и вмешательство в выборы США.