Pro distribuci malware se výborně hodí i XML soubory

Zdroj: SOOM.cz [ISSN 1804-7270]
Autor: .cCuMiNn.
Datum: 10.3.2015
Hodnocení/Hlasovalo: 1.33/3

Útočníci začali pro distribuci malware využívat také speciálně připravené XML soubory, které obsahují makra ve VBA. Tyto XML soubory pro své otevření automaticky využijí MS Word, je-li na počítači oběti nainstalován.

Výzkumníci společnosti Trustwave zaznamenali využití tohoto útočného vektoru k šíření bankovního trojana Dridex, kdy během spamové kampaně byl uživatelům rozesílán právě takový XML soubor, obsahující downloader trojana.

Kód malware, který byl napsán jako makro pro MS Word ve VBA a byl zakódován pomocí Base64, byl rozesílán pod názvy jako "Rem_0443NF.xml". Pokud byl na počítači obětí nainstalován MS Word z kancelářského balíku MS Office a uživatelé měli povoleno použití maker, pak se po otevření této XML přílohy spustil automaticky kód VBA v MS Wordu a obsažený downloader stáhnul malware ze vzdáleného serveru.

Útočné XML soubory lze poznat podle toho, že mají v deklaraci XML dokumentu element w:wordDocument s atributem w:macrosPresent="yes".