Использующее макросы вредоносное ПО стирает границы между Windows и Mac. К такому выводу пришли ИБ-эксперты Снорре Фагерланд (Snorre Fagerland) и Патрик Уорлд (Patrick Wardle) на основании анализа файла, обнаруженного на VirusTotal.
Техника заражения вредоносным ПО с помощью макросов известна хакерам уже давно. До недавнего времени таким образом происходило инфицирование компьютеров, работающих только под управлением Windows. Однако теперь макросы стали также использоваться в атаках на пользователей Mac.
Для заражения “маков” хакеры используют все ту же технику – отправляют жертве фишинговое письмо с прикрепленным документом, содержащим вредоносные макросы. Письма якобы содержат доклад некоммерческой организации “Фонд Карнеги за международный мир” (Carnegie Endowment for International Peace), посвященный победе Дональда Трампа на выборах президента США.
Когда жертва пытается открыть документ, появляется диалоговое окно с уведомлением о необходимости активировать макросы, чтобы просмотреть его содержимое. Если макросы включены, на системе выполняется полезная нагрузка, пытающаяся загрузить дополнительное ПО с подконтрольного злоумышленникам сайта. Экспертам не удалось изучить загружаемый вредонос, поскольку на момент проведения исследования его сервер был отключен.
Как сообщил Фагерланд изданию Motherboard, за атаками могут стоять хакеры, работающие на правительство. “Я не могу точно сказать, кто именно за этим стоит. Тем не менее, некоторые признаки указывают на русскоговорящих хакеров (правда, они могут быть из разных стран), но не исключено, что эти признаки сфабрикованы”, – сообщил Снорре. Атака работает только с версией Word для Mac. Какие цели преследовали хакеры, исследователям выяснить не удалось. (Новости/NovostIT)