Złośliwe oprogramowanie w plikach Word – na czym polega ten typ cyberataku?

Cyberprzestępcy nadal wykorzystują oprogramowanie z linii Microsoft Office do rozpowszechniania złośliwego oprogramowania. Głównym powodem zainteresowania hakerów tą metodą dystrybucji jest to, że Word i inne programy Microsoftu są niezwykle popularne nie tylko w firmach i korporacjach, lecz także wśród użytkowników domowych. Z perspektywy cyberprzestępcy o wiele łatwiej jest dołączyć złośliwy kod do pliku .doc i rozpowszechnić go za pomocą kampanii phishingowej podszywając się pod rzekomego kontrahenta, który wysyła fakturę, niż otwarcie próbować złamać zabezpieczenia danej firmy. Dlatego hakerzy bardzo często wykorzystują tę metodę do przeprowadzania masowych cyberataków, czyli tzw. „spray and pray”. Dlatego zespół Bitdefender przygotował krótki poradnik, w jaki sposób możesz uchronić się przed rozpowszechnianiem złośliwego oprogramowania przez pliki Worda.

Złośliwe oprogramowanie w plikach Word

Jak już wcześniej wspomnieliśmy, cyberprzestępcy nadal wykorzystują funkcjonalności Worda do przejmowania kontroli nad urządzeniem ofiary. W dalszej części tego artykułu przedstawimy, w jaki sposób przebiega ten proces i jak możemy się przed tym uchronić. Jednak w pierwszej kolejności skupmy się na tym, dlaczego Word jest tak atrakcyjnym celem dla cyberprzestępców.

Word – niezwykła popularność i niebezpieczeństwo ze strony VBA

Microsoft Word jest obecnie zdecydowanie najpopularniejszym edytorem tekstu. Producent chwali się tym, że z jego programów korzysta ponad 130 milionów użytkowników. Dodatkową popularność Wordowi dodało wyposażenie go w tak zwany makr, czyli VBA, dzięki któremu jego użytkownicy mogą tworzyć unikalne, spersonifikowane rozwiązania. Makr zapewnia klientom Microsoftu wyjątkową elastyczność, jednak okupione to jest tym, że VBA potrafi otwierać okna dialogowe i uruchamiać aplikacje na komputerze użytkownika. Ta funkcjonalność pozwala hakerom tworzyć złośliwe pliki, które za pomocą Worda będą w stanie zainfekować i kontrolować urządzenie ofiary.

Hakerzy wykorzystują także VBA, tak by uruchamiał on język skryptowy PowerShell. Powershell to język, który często wykorzystują administratorzy systemów, ponieważ dzięki temu są w stanie szybko zarządzać siecią komputerów wyposażonych w oprogramowanie Microsoftu. Niestety PowerShell ma dostęp do Windows Management Instrumentation i Win32 Application Programming, dlatego sprawny haker może wykorzystać skrypty do tego, aby zacząć kontrolować komputer niczego nie podejrzewającego właściciela urządzenia.

Word – niebezpieczne luki

Hakerzy mogą robić pożytek ze złośliwego oprogramowania w Wordzie nie tylko do pisania skryptów, lecz także wykorzystywać luki tego oprogramowania do włamania się na system swojej ofiary. Pomimo tego, że Microsoft regularnie aktualizuje i łata swoje produkty, to wirusy wykorzystujące luki w zabezpieczeniach nadal są bardzo groźne. Powodów na to jest kilka. Pierwszym jest to, że wielu użytkowników sieci zapomina o regularnych aktualizacjach. Drugi polega na tym, że wielu właścicieli komputerów nadal korzysta z pirackich wersji oprogramowania Office. Trzecim jest to, że część użytkowników nadal korzysta z bardzo starych wersji, które już nie są wspierane, a które są bardzo łatwym celem dla hakerów.

Makra powoli tracą na znaczeniu dla cyberprzestępców, ponieważ od jakiegoś czasu są domyślne deaktywowane w ustawieniach oprogramowania Microsoft, a użytkownicy niechętnie włączają tę funkcję. Coraz bardziej popularne zatem stają się ataki oparte na exploitach oraz Power Shell i dlatego w tej części artykułu przedstawimy dwa powszechne zagrożenia, które wykorzystują luki w oprogramowaniu Microsoft.

CVE-2012-0158 to prawie dziewięcioletnia luka, która swego czasu wyrządziła wiele szkód wśród użytkowników Office. Exploit ten jest rozpowszechniany za pomocą narzędzia RAT i charakteryzuje się tym, że wykorzystywał błąd zabezpieczeń w MSCOMCTL.OCX. Aplikacja ta odpowiada za pracę między innymi przez Internet Explorer i Microsoft Office. Dzięki wykorzystaniu tej luki hakerzy po zainfekowaniu komputera mogą bez przeszkód korzystać z wiersza poleceń, aby przejąć pełną kontrolę nad urządzeniem ofiary. Pomimo tego, że zagrożenie to jest już dość wiekowe, to nadal jest niezwykle niebezpieczne, szczególnie dla użytkowników, którzy nie korzystają z najnowszych wersji Office.

CVE-2017-11882 to stosunkowo nowa luka, która wykorzystuje nieścisłości w Microsoft Equation 3.0, czyli narzędziu, które umożliwia użytkownikom tworzenie skomplikowanych równań, których nie da się napisać w standardowym edytorze Word lub Excel. Hakerzy rozpowszechniają exploit, który wykorzystuje tę lukę za pomocą kampanii phishingowych. Najczęściej wysyłają maile do swoich ofiar, w których podszywają się pod przedstawicieli H&B Wire Fabrications ltd, i zachęcają do otwarcia niebezpiecznego załącznika, który przypomina fakturę. Gdy plik zostanie otworzony, to pobiera on instalator złośliwego oprogramowania, co kończy się zainfekowaniem naszego systemu. Powszechność i niebezpieczeństwo tej luki sprawiło, że Microsoft postanowił usunąć Microsoft Equation 3.0 ze swoich najnowszych produktów.

W jaki sposób bronić się przed złośliwymi plikami w Wordzie?

Oprogramowanie Microsoftu może nieść za sobą wiele niebezpieczeństw, dlatego zespół Bitdefender przygotował kilka rad, dzięki którym będziesz mógł cieszyć się bezpieczeństwem podczas korzystania z Worda.

• Nie aktywuj makr. Opcja ta jest docelowo wyłączona przez producenta, jednak pozostawił on możliwość włączenia jej. Warto także unikać włączania ActiveX dodawania nowych czcionek i edytorów formuł kodeków, jeśli nie jest to konieczne.
• Jeśli postanowisz korzystać z ActiveX lub makr, to włącz opcję powiadomień. Dzięki temu dostaniesz informację, gdy jakiś dokument będzie zachowywał się w podejrzany sposób.
• Zawsze korzystaj ze skutecznego systemu antywirusowego, np. Bitdefender Total Security. Dzięki niemu będziesz mógł uchronić się przed złośliwym oprogramowaniem i próbami phishingowymi.
• Wykonuj regularny back-up.
• Pamiętaj o regularnych aktualizacjach. Dzięki nim będziesz mógł uchronić się przed większością zagrożeń, które zostały już wykryte i załatane.
• Unikaj klikania w podejrzane linki i załączniki wysyłane przez obcych Ci użytkowników sieci. Istnieje duże prawdopodobieństwo, że padasz ofiarą kampanii phishingowych.
• Dbaj o cyberedukację Twoich domowników i pracowników. Większość skutecznych ataków jest spowodowanych rażącymi błędami ludzkimi.