Det er på tide å våkne – Makrobasert malware inntar verden igjen
Makroer er script som inneholder ulike kommandoer for å bli i stand til å automatisere oppgaver i ulike applikasjoner. I den senere tiden er det blitt oppdaget flere angrep med malware som er blitt formidlet gjennom Microsoft Office dokumenter. Måten angrepene er blitt utført på, viser en teknikk som ikke er blitt benyttet på lang tid
Microsoft Office programmer som Word og Excel støtter makroer som er skrevet i Visual Basic for applikasjoner (VBA), og disse kan benyttes til å ødeleggende aktiviteter som å installere malware. For å forhindre misbruk ga Office XP som kom på markedet i 2001 brukerne muligheten for å tillate eller nekte bruken av usignerte makroer. Dette var årsaken til at angriperne i stedet benyttet seg av andre virkemidler for å spre malware.
Microsoft Malware Protection Center (MMPC) opplyser at de har sett et økende antall angrep som har benyttet makroer igjen for å spre ondsinnede koder. Kriminelle grupper på nettet har begynt å utnytte denne teknikken igjen i den senere tiden.
”Adnel” og ”Tarbir” er to aktiviteter som særlig har rammet brukere i USA og Storbritannia. De ble oppdaget og hadde sin høyeste aktivitet i midten av desember. Begge angrepene ble distribuert gjennom makroer i .doc- og .xls-dokumenter via spam-mail. De ble vanligvis maskert som oppskrifter, fakturaer, bekreftelser på pengeoverføringer, regninger og shipping-forsendelser.
Når disse filene blir åpnet, instrueres ofrene for bedragerne en skritt-for-skritt veiledning om hvordan de skal få de ødeleggende makroene til å fungere. Kombinasjonen av instruksjonene, spam og håp om penger og et tilsynelatende relevant filnavn, kan få uoppmerksomme bruker til å klikke på ”Enable Content”-knappen.
En annen versjon av et malware-program som ble distribuert gjennom makroer, var ”Dridex” som rammet brukere av nettbank. Da dette programmet nådde sin høyde i november, ble Dridex-relaterte spamkampanjer distribuert gjennom opp til 15 000 dokumenter med ondsinnede makroer hver dag, i følge analytikere i sikkerhetsfirmaet Trustware.
Dokumentene fremstod som fakturaer fra software-firmaer, online forhandlere, banker, finansinstitusjoner og shipping-firmaer. Noen av dem var vedlagt instruksjoner om hvordan du skulle få makroene til å virke som de skulle, fortsatt i følge analytikerne i Trustware.
Det er heller ikke bare cyber-kriminelle som har tatt makro-teknologien i bruk igjen. Også statlige institusjoner har benyttet dem for å kunne spionere på andre nasjoner. Forskere presenterte nylig resultatene av sine analyser under Chaos Communication Congress i Hamburg. Forskerne påviste at angriperne hadde benyttet e-post med spear-phishing til å komme seg inn i statlige og akademiske institusjoner i Israel og Vest-Europa via Excel-filer som inneholdt de ondsinnede makroene. Når makroene ble aktivert, installerte de en avansert bakdør.
En tilsvarende cyber-spionasje-kampanje brukte Word-dokumenter med ondsinnede makroer. ”Cosmic Duke” ble oppdaget i september og viste seg å være rettet mot minst ett europeisk utenriksdepartement. Med ironisk snert sier forskere ved F-Secure at det er utrolig hvor vennligsinnede angriperne er ved å oppgi nøyaktige instruksjoner om hvordan du bør installere malwaren bare ved helt enkelt å klikke på aktiveringsknappen.
Når disse filene blir åpnet, instrueres ofrene for bedragerne en skritt-for-skritt veiledning om hvordan de skal få de ødeleggende makroene til å fungere. Kombinasjonen av instruksjonene, spam og håp om penger og et tilsynelatende relevant filnavn, kan få uoppmerksomme bruker til å klikke på ”Enable Content”-knappen.
