Исследователи из Fortinet обнаружили документ Word с вредоносным VBA-кодом, способным загружать целевого зловреда и на Mac OS X, и на Windows.
Как и многие аналогичные ловушки, при открытии этот файл провоцирует пользователя включить макрос. Если пользователь последует подсказке, VBA исполнится и произойдет автоматический вызов AutoOpen(). Эта функция считывает зашифрованное по base64 значение свойства Comments документа. Как оказалось, это Python-скрипт, который на Windows и Mac OS X работает по-разному.
Поскольку Python на Mac OS X предустановлен, подобные скрипты на этой ОС исполняются по умолчанию. В итоге схема заражения здесь прямолинейна: встроенный скрипт загружает со стороннего адреса файл – тоже Python-скрипт, который запускается на исполнение и пытается связаться с сервером атакующих. По словам исследователей, загружаемый скрипт представляет собой модифицированную версию Meterpreter-нагрузки, добавленной в фреймворк Metasploit в ноябре 2015 года.
Meterpreter – это расширяемый компонент, использующий технику ступенчатого инжекта dll из памяти. Этот инструмент обычно используется для пентестинга, однако его также используют несколько преступных групп, в частности, GCMAN и недавно выявленная «Лабораторией Касперского» группировка, тоже оперирующая «бесфайловым» зловредом.
На Windows сценарий, запускающий эксплойт, более сложен. Из зашифрованных по base64 данных извлекается скрипт Powershell, который распаковывает другую часть кода, высвобождая другой Powershell-скрипт. Исполнение последнего влечет загрузку из Сети файла – 64-битной dll, способной вести обмен со своим сервером. Как показал анализ, эта схема ориентирована лишь на 64-битные Windows.
Догадаться о способах распространения данного зловреда нетрудно, однако цели его хозяев пока неясны. В комментарии Threatpost Пэй Сюэ Ли, старший менеджер подразделения FortiGuard по разработке сервисов и ИБ-исследованиям, отметил, что в ходе тестирования образца они наблюдали попытки открыть TCP-сессию как на Windows, так и на Mac OS X, однако сервер злоумышленников ни разу не ответил. Wireshark каждый раз фиксировал ошибку TCP-соединения.
Макро-зловреды для macOS – уже не новость, но они стали появляться совсем недавно. Так, в феврале исследователи из Synack опубликовали аналогичную находку, однако в их случае вредоносный макрос исполнялся исключительно на Mac-компьютерах. При активации он расшифровывал данные и исполнял их с помощью Python-скрипта, позаимствованного из другого проекта – EmPyre.
В беседе с журналистами Threatpost Ли не преминул подчеркнуть эту разницу: «Проанализированная нами вредоносная программа атакует как Mac OS, так и Windows… Python-агент, используемый зловредом после эксплойта, другой. Там это EmPyre, здесь – Meterpreter. Не исключено, что кросс-платформенные зловреды на основе макро-кода станут трендом».
valico изменил фотографию своего профиля