Hackare utnyttjar MS Office för att sprida självreproducerande Malware

Computer Security News

Säkerhetsexperter rapporterade ett säkerhetsproblem som påverkar alla versioner av Microsoft Office och kan utnyttjas av hackare för fördelande makro-baserade självreproducerande malware.

Underrättats om felet, infört Microsoft en säkerhetsmekanism i MS Office som förhindrar sådan typ av attacker. Trots den nya mekanismen, har dock en forskare från företaget InTheCyber funnit en attack teknik att kringgå säkerhetskontrollen och skapa självreproducerande malware gömd i MS Word-dokument.

Microsoft informerades om felet i oktober, men företaget överväga inte frågan en säkerhetsrisk och förklarade att funktionen utnyttjas av experten implementerades för att arbeta exakt på detta sätt.

Vad är värre är dock att hackare redan utnyttjar mot samma angrepp som rapporterades till Microsoft. För några dagar sedan, detaljerad säkerhetsexperter från Trend Micro en nyligen upptäckt makro-baserade självreplikerande ransomware kallas ‘qkG’ som utnyttjar samma MS office fel.

”Ytterligare granskning i qkG visar också att det ska vara mer av ett försöksprojekt eller ett proof of concept (PoC) snarare än en malware som aktivt används i vilt. Detta dock inte göra qkG mindre av ett hot. Som qkG proverna visat, dess beteenden och tekniker går att fininställa av dess utvecklare eller andra hot aktörer ”. analysen publicerades av Trend Micro läser.

QkG ransomware är beroende av Auto Stäng VBA makro tekniken att köra skadligt makro när offret stänger dokumentet.

Den första versionen av qkG ransomware ingår en Bitcoin adress, precis som det senaste urvalet av det hot som kräver en lösensumma på $300 i BTC. Enligt säkerhetsforskare, har inte Bitcoin adress fått någon betalning ännu, vilket tyder på att hackare inte har sprida skadlig kod globalt ännu.

Experterna fann också att qkG ransomware använder hårdkodad lösenordet ”jag är QkG@PTM17! av TNA@MHT-TT2” som gör det möjligt för att dekryptera filer.

Microsoft Corporation har otillförlitliga externa makron som standard och att begränsa standard programmässig åtkomst till objektmodellen för Office VBA-projektet. Användare kan manuellt aktivera ”lita åtkomst till objektmodell för VBA-projekt”, om det behövs.

Så snart den ”åtkomst till objektmodell för VBA-projekt”-inställningen är aktiverad, MS Office litar alla makron och körs automatiskt någon kod utan visar någon säkerhetsvarning eller som kräver användarens tillstånd.

Användare kan också enabled/ funktionshindrade ”åtkomst till objektmodell för VBA-projekt” inställningen genom att redigera en Windows-registret, så småningom Aktivera makron att skriva mer makron utan användarens medgivande och kunskap.

Attack tekniken uppfanns av forskaren Lino Antonio Buono och det ser bara hackare lura offren att köra makron i ett bete-dokument.

”Det är möjligt att flytta nyckeln AccessVBOM från registreringsdatafilen HKCU till HKLM, vilket gör det redigerbara endast av systemet att (delvis) minska sårbarheten administratör. Buono säger.


Leave a Reply

Your email address will not be published. Required fields are marked *