Specjaliści z grupy Sophos zaobserwowali powrót zagrożenia biurowego VBA (macro). Właściwie nie było go od ponad dekady.
Oparty na Visual Basicu język VBA w latach 90-tych ubiegłego wieku był bardzo popularny wśród cyberprzestępców jako środek do przenoszenia złośliwego oprogramowania w aplikacjach Microsoft Office. I choć potem na długi czas wyszedł z obiegu, centra badawcze Sophos informują, że jesteśmy świadkami jego powrotu.
Specjaliści z Sophos zaobserwowali, że od niedługiego czasu zagrożenie VBA (macro) jest ponownie wykorzystywane do potajemnego przejmowania funkcji, takich jak AutoOpen w Wordzie i Auto_Open w Excelu. Po otwarciu zainfekowanego dokumentu malware przejmuje kontrolę nad ustawieniami szablonów pakietu Office, dzięki czemu w przyszłości może wpływać na pozostałe dokumenty w ramach jednego pakietu biurowego.
„Historia lubi się powtarzać i badacze bezpieczeństwa IT, zaobserwowali zwrot w przypadku macro malware. Jak na ironię, oszuści często stosują makra w dokumentach pod pretekstem, że dokument jest bardziej bezpieczny. Cyberprzestępca sugeruje, że dokument jest dodatkowo zabezpieczony szyfrem, aby użytkownik włączył makra do odszyfrowania” – czytamy w raporcie grupy Sophos.
Wydawać by się mogło, że technika stosowana pod koniec ubiegłego wieku nie sprawdzi się w 2014 roku. Jak się okazuje – nic bardziej mylnego. Zgodnie z raportem Sophos, w więcej niż połowie wykrytych ataków na dokumenty Office zastosowanie znalazły pliki VBA.
Jednocześnie jednak uspokajamy – większość popularnych programów antywirusowych doskonale radzi sobie ze skanowanie plików pakietu Office pod kątem weryfikacji makr.
Źródło: Sophos, NakedSecurity
Komentarze
7Tak, jak by nie patrzeć, to nastąpił regres rozwoju takich technik. Pierwsze wirusy miały dużo bardziej zaawansowane metody infekcji i ukrywania się w systemie. Wraz z rozwojem autorzy zrezygnowali z subtelnych technik, a postawili na bezczelność z założeniem, że głupich używających komputerów jest już wystarczająco dużo.