Pliki Microsoft Publisher mogą roznosić wirusy
10 stycznia 2017
Bitdefender ostrzega – pliki Microsoft Publisher roznoszą tzw. Backdoor – rodzaj szkodliwego oprogramowania, który wykrada poufne firmowe dane.
Fala ukierunkowanego spamu zaraża komputery z oprogramowaniem Windows przez szkodliwy program backdoor („tylną furtkę”) w taki sposób, że wykrada poufne dane z małych i średnich przedsiębiorstw. Osoby badające spam z firmy Bitdefender zidentyfikowały kilka tysięcy e-maili, które udawały zamówienia i faktury, zawierające w załączniku plik z rozszerzeniem .pub. Nadawcy wiadomości podszywają się głównie pod pracowników małych i średnich firm z Wielkiej Brytanii lub Chin , jak i też za inne legalne przedsiębiorstwa.
Odbiorcom doradza się, aby otworzyli załączony plik przy użyciu programu Microsoft Publisher, płatne oprogramowanie służące do tworzenia materiałów marketingowych, osadzony w usłudze Office 365. Publisher jest powszechnie stosowany jako edytor, narzędzie do tworzenia wzorców w celu sporządzenia ulotek, pocztówek, informatorów, elektronicznych biuletynów albo kartek okolicznościowych z życzeniami.
„Plik typu .pub nie jest typowym formatem pliku hostującym złośliwe oprogramowanie” mówi Adrian Miron, przełożony sekcji ds. antyspamu w Bitdefender. „Spamerzy wybrali ten plik albowiem ludzie z reguły nie łączą pliku tego rodzaju z możliwością zarażenia komputera”.
Plik typu .pub zawiera skrypt (VBScript), który usadawia adres URL zachowując się jako zdalny host. Z tego miejsca złośliwe oprogramowanie (Malware) ściąga samorozpakowywujący się plik typu „cabinet” .CAB (format archiwizacji danych) zawierający skrypt AutoIt, narzędzie uruchamiające skrypt i zaszyfrowany plik AES-256. Specjaliści od złośliwych programów zauważyli, że zaszyfrowany plik może zostać odkodowany przy pomocy klucza zdobytego z MD5 (system „kodowania” danych) wiadomości zapisanej w pliku AutoIt.
Kiedy już plik zostanie odszyfrowany i zainstalowany atakujący mają dostęp przez tylne drzwi i mogą kontrolować zasoby na zarażonym komputerze. Złośliwe oprogramowanie jest w stanie „zapamiętać” naciśnięcia klawiatury, aby zarejestrować hasła i nazwy użytkowników, wykraść dane potrzebne do zalogowania z przeglądarek lub e-maili, przeglądać dane systemu i działać jeszcze w inny wścibski sposób.
Adrian Miron z Bitdefender dodaje: „ Mamy powody przypuszczać, że układ ten bierze swój początek w Arabii Saudyjskiej i Czechach”.
Bitdefender wykrywa i blokuje plik .pub jako W97M.Downloader.EGF i backdoor payload (inne szkodliwe narzędzie hakerskie) jako Generic.Maleware.SFLI.545292C0MD5:8bcaf480f97eb43d 3be d8fcc7bc129a4
Aby być zabezpieczonym przed tego rodzaju zagrożeniem, Bitdefender radzi zainstalować godny zaufania i solidny filtr antyspamowy. Użytkownicy powinni unikać otwierania i ściągania podejrzanych załączników w poczcie elektronicznej z niechcianych źródeł.
Informację można dowolnie wykorzystać podając markę Bitdefender jako źródło.
Marken Systemy Antywirusowe – oficjalny przedstawiciel marki Bitdefender w Polsce.
Autor: Alexandra Gheorghe
Bitdefender
Oryginalne źródło: https://hotforsecurity.bitdefender.com/blog/microsoft-publisher-files-spread-backdoor-to-steal-corporate-data-bitdefender-warns-16620.html