В сети началось распространение вредоносного программного обеспечения типа DOC / TrojanDownloader.Agent, злоумышленники пытаются распространить вирус с помощью электронной почты с прикрепленным к сообщению файлом документа с расширением «.docx».
Как сообщают специалисты по кибербезопасности компании CERT-UA, в случае выполнения макроса целью данной рассылки является загрузка и запуск другого вредоносного программного обеспечения. В CERT-UA установили, что при открытии документа «xxx.docx» происходит загрузка другого файла с адреса «hххp://185.203.118.198/documents/Note_template.dotm» и его запуск в инфицированной системе. Таким образом возникает возможность удаленного проникновения в систему для различных целей, одна из которых может быть вывод из строя инфицированной системы.
В файлах Word предусмотрена возможность использования шаблонов, которые находятся на удаленном сервере, чем и воспользовались злоумышленники. Код загрузки шаблона с макросами «Note_template.dotm» с адреса 185.203.118.198 прописывается в компоненте «… word / _rels / settings.xml.rels» документа «xxx.docx». В открытом доступе есть скрипт для добавления таких «шаблонов» к любому документу с расширением «.docx» (phishery / badocx на GitHub). Некоторые антивирусы все же распознают такие baddocx, как DOC / TrojanDownloader.Agent.
При открытии «xxx.docx» открывается окно с сообщением:
После нескольких секунд сообщение исчезает и открывается следующее, которое побуждает пользователя включить выполнение макросов:
В результате активации документа «xxx.docx» в инфицированной системе меняются реестровые значения, включая Интернет настройки, значение конфигурации редактора MS Word и создаются дополнительные файлы.
Как отмечают исследователи, при загрузке дополнительной вредоносной программы (эксплойта) возможна кража паролей, данных системы и пользователей, и попытки инфицирования USB-носителей.
По информации специалистов, загруженный файл с адреса 185.203.118.198 идентифицировался как вирус Zebrocy, целью которого является кража информации группой Sednit (известная как APT28 или Sofacy, или STRONTIUM).
Во избежание инфицирования системы в CERT-UA рекомендуют:
• Избегать сообщений указанного и похожего содержания и предостерегать персонал от запуска вложений в подозрительных сообщениях и файлов с выполняемыми форматами;
• Обратить внимание на фильтрование входящих / исходящих информационных потоков, в частности почтового веб-трафика, настроить защиту от спама и подделки адреса отправителя с помощью технологий DKIM, SPF, DMARC;
• Проверить журнальные файлы на предмет наличия записей с указанными выше индикаторами;
• Ограничить возможность запуска исполняемых файлов (* .exe, *. js, * com, * .bs) на компьютерах пользователей из директорий% TEMP%,% APPDATA%;
• Регулярно обновляйте антивирусную базу и сканировать потенциально зараженные системы;
• Регулярно делайте резервные копии важного программного обеспечения и данных;
• Периодически делайте полную проверку «чувствительных» компьютеров на предмет наличия вредоносного программного обеспечения;
• Регулярно обновляйте программное обеспечение в том числе компоненты системы;
• Обратить особое внимание на версии Microsoft Office, было ли осуществлено обновление, если она лицензионная;
отключить макросы, если они не используются;
• Проверить настройки Microsoft Word для ограничения или запрета сетевого трафика и позволить только обновления;
• Администраторам рекомендуется следить за попытками подключения с указанного адреса, для выявления потенциально зараженных систем;
• Обратить внимание на настройку политики использования USB носителей для ограничения инфицирования путем их использования.
