Ett vanligt sätt att sprida skadlig kod har länge varit via spammejl som innehåller ett bifogat Office-dokument som laddar hem skadliga kod med hjälp av makro. Användaren luras till att tillåta makrot att köras och där med starta nedladdningen. Trustwave SpiderLabs har analyserat ett utskick av DOCX-filer där ingen interaktion med användaren behövs för att ladda hem den skadliga koden.  Attacken går ut på att via flera steg ladda hem den skadliga koden utan att använda makron eller att någon interaktion med användaren krävs.

Den analyserade attacken gick till på följande sätt.

  1. Användaren får ett spammejl, bifogat i mejlet finns en DOCX-fil.
  2. Användaren öppnar filen.
  3. DOCX-filen innehåller ett OLE objekt som laddar hem och öppnar upp en RTF-fil förtäckt till en DOC-fil.
  4. DOC-filen utnyttjar sårbarheten CVE-2017-11882 Office Equation Editor vulnerability för att kunna köra MSHTA kommandon.
  5. En HTA-fil laddas hem via MSHTA kommandon.
  6. HTA-filen innehåller ett VBScript som packar upp ett PowerShell script.
  7. PowerShell scriptet laddar hem och installerar en password stealer.
  8. Password Stealern tar lösenord från Webbläsare, email och FTP klienter.
  9. Lösenorden laddas sedan upp till en server.

Den nya metoden medför att även om makron är blockerat så kan skadliga Office-filer orsaka smitta på klienter.
Det är väldigt svårt att skydda sig mot dessa nya tekniker, men det som går göra för att minska risken är att se till så att patchar finns installerade på klienterna. Med patchar installerade minskar risken att sårbarheter kan utnyttjas.

För mer information om detta så kan ni läsa SpiderLabs analys.
https://www.trustwave.com/Resources/SpiderLabs-Blog/Multi-Stage-Email-Word-Attack-without-Macros/

Anders Gunnarsson
Security Analyst