Autor: .cCuMiNn. | 10.3.2015 |
Výzkumníci společnosti Trustwave zaznamenali využití tohoto útočného vektoru k šíření bankovního trojana Dridex, kdy během spamové kampaně byl uživatelům rozesílán právě takový XML soubor, obsahující downloader trojana.
Kód malware, který byl napsán jako makro pro MS Word ve VBA a byl zakódován pomocí Base64, byl rozesílán pod názvy jako "Rem_0443NF.xml". Pokud byl na počítači obětí nainstalován MS Word z kancelářského balíku MS Office a uživatelé měli povoleno použití maker, pak se po otevření této XML přílohy spustil automaticky kód VBA v MS Wordu a obsažený downloader stáhnul malware ze vzdáleného serveru.
Útočné XML soubory lze poznat podle toho, že mají v deklaraci XML dokumentu element w:wordDocument s atributem w:macrosPresent="yes".