Ataki na MS Office to dopiero początek?
Użytkownicy MS Worda i Excela stali się celem ataków nowej zaawansowanej rodziny szkodliwego kodu o nazwie Crigent. Szkodniki te trafiają na komputer użytkownika jako zainfekowane pliki Worda lub Excela. Mogą być one wgrane przez inny szkodliwy kod lub też pobrane przez ofiarę. Gdy zostaną otwarte pobierają dwa dodatkowe fragmenty kodu z dwóch znanych serwisów zapewniających anonimowość: Tor i Polipo - informuje Alvin John Nieto z firmy Trend Micro.
Szkodliwy kod najpierw atakuje lukę w Windows PowerShell i kradnie stamtąd informacje o systemie, takie jak adres IP, lokalizacja, uprawnienia profili, wersję systemu operacyjnego, dane o architekturze i wykorzystywanym języku oraz o używanej wersji MS Office. Taki sposób ataku jest nietypowy i wskazuje, że cyberprzestępcy przygotowują się do jakiejś szeroko zakrojonej kampanii.
Wydaje się, że mamy tutaj do czynienia z atakiem mającym na celu zebranie i przeanalizowanie informacji. Prawdopodobnie chodzi o zdobycie danych do przyszłych ataków. Szczególnie poszukiwana jest informacja na temat wersji aplikacji MS Office. Nietypowym działaniem jest atak na dość rzadko używany język skryptowy PowerShell - stwierdzili eksperci.
Dodatkowym powodem do zmartwień jest wykorzystywanie przez przestępców serwisów anonimizujących. To może wskazywać, że ukradzione informacje trafiają w jedno miejsce, a napastnikom zależy na tym, by w spokoju je przeanalizować i prawdopodobnie przygotować kolejne ataki.
Na początku marca firma Kaspersky Lab znalazł dowody, że przestępcy przygotowują nowy rodzaj zaawansowanych cyberataków, które będą przeprowadzane za pośrednictwem sieci Tor.
Komentarze (5)
Kodak, 31 marca 2014, 13:06
A ci przestępcy to z sektora prywatnego czy publicznego?
W końcu rozmaite agendy rządowe również tworzą wirusy...
pawelm, 31 marca 2014, 15:35
Zgadzam się z kolegą, Po co hakerom informacje na temat wersji MS office'a? B)
Może jeszcze potrzebują informacji na temat oryginalności używanego pakietu Office'a?
Śmierdząca sprawa.
Poza tym niezła nagonka się zrobiła w sieci na TOR'a bo wymknął się z pod kontroli "sektora publicznego"
...i don't want live on this planet anymore
Acrux, 31 marca 2014, 20:22
Ataki, żeby mieć dane do następnych ataków. No ale po co?
pogo, 1 kwietnia 2014, 00:45
Statystyka - aby wiedzieć pod co warto pisać wirusy itp.
Usher, 2 kwietnia 2014, 01:27
Oryginalna wiadomość
http://blog.trendmicro.com/trendlabs-security-intelligence/word-and-excel-files-infected-using-windows-powershell/ podaje informacje, które pośrednio wyjaśniają, po co potrzebna jest znajomość numerów wersji MS Office czy ustawień regionalnych.
Pokrótce:
1. Szkodniki przenoszą się w plikach *.doc i *.xls w formacie MS Office 97/2000, który nie jest domyślnym w nowszych wersjach pakietu. Zebrane statystyki mogą uzasadnić napisanie wariantu działającego bezpośrednio z nowszymi formatami *.docx i *.xlsx, bez ich konwersji do starszych formatów.
2. Różne wersje MS Office mają różne możliwości obsługi języka Visual Basic, w szczególności dotyczy to używania przetłumaczonych na różne języki nazw funkcji. Tu zebrane statystyki mogą uzasadnić napisanie wariantów szkodnika atakujących najbardziej popularne nieangielskie wersje MS Office bądź wykorzystujące dziury w określonych wersjach pakietu.