Новый вирус распространяется через Word без помощи макросов

Хакеры взяли на вооружение новый способ атаки, вовлекающий Dynamic Data Exchange.

Хакеры взяли на вооружение новый способ атаки, вовлекающий Dynamic Data Exchange (DDE) — устаревший, но до сих пор поддерживаемый Microsoft механизм, который позволяет одним файлам исполнять код, находящийся в других файлах. Благодаря DDE кибервзломщикам удалось спрятать в документ Microsoft Office троянца, который подгружает вредоносную программу из интернета. Первыми об атаке сообщили эксперты Trend Micro.

Когда пользователь открывает зараженный документ Word, спрятанный в файле код подключается к удаленному серверу, который находится под контролем хакеров, и скачивает оттуда вирус-разведчик Seduploader. Если окажется, что жертва представляет интерес для вирусописателей, троянец запустит в систему более опасные программы-шпионы X-Agent и Sedreco.

На следующий день после публикации Trend Micro компания Microsoft рассказала, как пользователи Office могут защититься от DDE-атак. Самый надежный способ: не подтверждать действия в подозрительных окнах, всплывающих при открытии документа. Продвинутые пользователи могут отредактировать реестр Windows и отключить автоматическое обновление данных в одном файле из другого.

Техника заражения Windows-компьютеров при помощи DDE не нова. Интерес к ней возродили эксперты SensePost, которые в прошлом месяце показали, как внутри Word-файлов может быть спрятано вредоносное ПО, незаметное для антивирусов.

С DDE-атаками связывают Fancy Bear (также известна как APT28) — хакерскую группировку, подозреваемую в связях с Кремлем. Как говорят аналитики, злоумышленники рассылают среди жертв зараженный документ IsisAttackInNewYork.docx, в котором якобы содержится информация о недавнем теракте в Нью-Йорке. Ранее именно на Fancy Bear американские спецслужбы возложили ответственность за взлом серверов Национального комитета Демократической партии и вмешательство в выборы США.

@ASTERA: Новости IT и финансов