Badacze z zespołu ThreatLabZ firmy Zscaler zaobserwowali nową metodę rozpowszechniania złośliwego oprogramowania przy użyciu odpowiednio przygotowanych plików RTF. Do dokumentu z rozszerzeniem zmienionym na .doc atakujący wstawiają wiele arkuszy Excela. Wykorzystując formant \objupdate, powodują, że okienko proszące o aktywację makro wyskakuje wielokrotnie, tworząc wrażenie, że wyrażenie zgody jest niezbędne do zapoznania się z treścią dokumentu. Wyrażenie zgody na uruchomienie makro w Wordzie skutkuje pobraniem złośliwego pliku VBS, który w pierwszej kolejności kończy działanie wszystkich uruchomionych procesów Worda i Excela, następnie pobiera za pośrednictwem protokołu HTTPS narzędzie umożliwiające zdalny dostęp do komputera ofiary (ang. Remote Access Tool). Eksperci zaobserwowali dwa rodzaje dystrybuowanego w ten sposób złośliwego oprogramowania – NetwiredRC i QusarRAT. Oba mają wbudowane funkcje keyloggera, czyli możliwość rejestracji znaków wprowadzanych za pomocą klawiatury. Dodatkowo złośliwy plik VBS włącza na stałe makra w programach Word, PowerPoint i Excel, odpowiednio modyfikując rejestr systemu.
Ryzyko duże: Popularność ataków z użyciem plików MS Office pozwala oczekiwać, że opisywana metoda będzie wkrótce szerzej wykorzystywana przez przestępców.
Działania długoterminowe: Uwzględnienie scenariuszy ataku z użyciem danej metody w szkoleniach dla pracowników.
Źródło: https://www.zscaler.com/blogs/research/malicious-rtf-document-leading-netwiredrc-and-quasar-rat