Nowa metoda ataku phishingowego wykorzystująca makra
Cyberprzestępcy są niezwykle kreatywni. Jedną z nowych metod ataki, zaobserwowaną przez ekspertów z Barracuda Networks, są wiadomości e-mail zawierające skierowaną do użytkownika prośbę o „włączenie makr” (zestawy gotowych poleceń, popularne rozwiązanie m.in. w pakiecie MS Office).
Atak phishingowy „Włącz makra” używa kilku różnych etapów i technik, mających na celu przyciągnięcie uwagi odbiorcy. W przedstawionym poniżej przypadku pierwszym etapem jest wysłanie zastraszającej wiadomości, która pozornie pochodzi od władz – w rzeczywistości jednak adres jest podrobiony. Do wiadomość załączony jest dokument Microsoft Office. Co ciekawe, nadawca nie liczy na odpowiedź, ale na to, że odbiorca otworzy załączony plik. Adres nadawcy jest podrobiony i wygląda tak, jakby należał do instytucji rządowej – jest to zabieg, za pomocą którego użytkownik ma nabrać przeświadczenia o dużym znaczeniu wiadomości.
Makr używa się do automatyzacji często wykonywanych zadań. Stanowią one jednak zagrożenie, ponieważ osoba motywowana złymi intencjami może zapisać w dokumencie szkodliwe makro w celu przeprowadzenia ataku. Dlatego często zdarza się, że administrator systemu wdraża zasady, które uniemożliwiają pracownikom samodzielne włączanie makr. Z drugiej strony, niektóre organizacje rutynowo używają makr pakietu Office a użytkownicy mają je domyślnie włączone, a nawet jeśli nie, to są przyzwyczajeni, żeby włączać je bez zastanowienia.
Podczas otwierania dołączonego pliku użytkownik zostanie poproszony o „włączenie makr” lub „włączenie zawartości”, ale oba sformułowania znaczą to samo. Zwykle dokumenty te zawierają makro o nazwie „Auto_Open” lub „Otwórz dokument”, ale równie dobrze może być to jedna z kilkunastu innych nazw, które sprawiają, że Microsoft Office automatycznie uruchamia makro w czasie otwierania dokumentu. Szczególne zagrożenie wynika z tego, że uruchomienie makra nie wymaga żadnej interakcji z użytkownikiem poza samym otwarciem pliku.
W opisywanym tu przypadku, jeśli odbiorca włączy makra albo ma je już włączone w swojej konfiguracji Microsoft Office, złośliwy kod zostanie uruchomiony natychmiast. Może to być samo makro programu Office, choć często makro służy tylko do pobrania właściwego złośliwego kodu z internetu – może to być dowolny kod, choć oczywiście dziś najpopularniejszy jest ransomware. W takim przypadku po otwarciu dokumentu złośliwe oprogramowanie po cichu zaszyfruje wszystkie pliki w komputerze.
Ten konkretny rodzaj ataku wykorzystuje następujące techniki:
• Phishing. Napastnik wysyła przekonującą wiadomość e-mail z podrobionym adresem nadawcy w celu skłonienia użytkownika do otwarcia dołączonego pliku.
• Złośliwe oprogramowanie. W tym przypadku do ataku może dojść w momencie otwarcia załącznika albo po tym, jak użytkownik włączy obsługę makr w swoim komputerze.
Eksperci z Barracuda Networks chcąc uzyskać więcej informacji podczas analizy tego konkretnego zagrożenia, przyjrzeli się również domenie używanej przez cyberprzestępców. Ustalili, że domena została stworzona w styczniu, a adres IP serwera SMTP wskazuje na Francję. Jednak kiedy sprawdzili rekord A domeny, okazało się, że serwer znajduje się w Petersburgu w Rosji. Pokazuje to, że ataki tego typu bywają mocno rozproszone geograficznie, ale nie mówią nic o lokalizacji atakujących – mogą oni znajdować się wszędzie.