Новый способ воровства паролей через Word

Хакеры нашли новый способ взлома компьютеров через Word, не прибегая к помощи вредоносных макросов. Суть новой атаки — Turducken Attack — заключается в том, чтобы убедить жертву посмотреть зараженный документ в формате .DOCX, присланный по почте.

При этом пользователь, открывая вложение, не получает никаких предупреждений или всплывающих окон. Открытие файла повлечет за собой запуск встроенного OLE-объекта, содержащего ссылки на внешние ресурсы. Далее, объяснили эксперты компании Trustwave Spiderlabs, с серверов злоумышленников на компьютер пользователя скачивается RTF-документ.

Его содержимое декодируется, после чего запускается исполняемый HTA-файл, который, в свою очередь, открывает PowerShell-скрипт, загружающий в систему вредонос Password Stealer Malware. В результате вирус-шпион крадет учетные данные для почты, FTP-клиентов и браузеров, и отправляет их кибермошенникам.

В ноябре прошлого года исследователи сообщили о возрождении техники заражения Windows-компьютеров при помощи Dynamic Data Exchange (DDE) — устаревшего, но до сих пор поддерживаемого Microsoft механизма, который позволяет одним файлам исполнять код, находящийся в других файлах. Благодаря DDE кибервзломщикам удалось спрятать в документ Microsoft Office троянца, который подгружает вредоносную программу из Интернета.

Когда пользователь открывает зараженный документ Word, спрятанный в файле код подключается к удаленному серверу, который находится под контролем хакеров, и скачивает оттуда вирус-разведчик Seduploader. Если окажется, что жертва представляет интерес для вирусописателей, троянец запустит в систему более опасные программы-шпионы X-Agent и Sedreco.

Чтобы защититься от атак, эксперты рекомендуют своевременно обновлять ПО, а также не подтверждать действия в подозрительных окнах, всплывающих при открытии документа.