Обнаружен способ кражи данных с помощью Word без использования макросов

Спамеры придумали новый способ кражи данных у пользователей. Достаточно открыть документ Word, при этом не важно, разрешено ли у пользователя исполнение макросов. Новая технология, набирающая обороты, была обнаружена исследователями Trustwave SpiderLabs в ходе проходящей сейчас кампании по борьбе с вредоносным ПО.
Мошенники используют многошаговую схему заражения компьютера, которая в итоге устанавливает программу, похищающую пароли. В Trustwave SpiderLabs утверждают, что на данный момент эту технику использует лишь одна группа спамеров, но вскоре ее подхватят и остальные.

Алгоритм кражи информации

Инфицирование может происходить через разные источники, такие как файлы с расширением DOCX, RTF, HTA, VBScript и PowerShell.

• Жертва получает email с прикрепленным DOCX-файлом;
• Далее пользователь загружает и открывает этот файл у себя;
• Файл содержит встроенный OLE-объект, который загружает и запускает RTF-файл, замаскировавшийся под DOC;
• DOC использует уязвимость редактора Office Equation Editor CVE-2017-11882;
• Эксплойт открывает MSHTA-командную строку, в которой загружается и запускается HTA-файл;
• Этот HTA-файл содержит VB-скрипт, который распаковывает PowerShell-скрипт;
• PowerShell-скрипт загружает и устанавливает программу-похититель паролей;
• Далее похищаются пароли из почты, браузеров и FTP-клиентов;
• Полученные данные передаются на удаленный сервер.

Избежать такого заражения можно, если с осторожностью относиться к загружаемым файлам, а также регулярно обновлять Windows и Office.