В KZ-CERT сообщили о вредоносной рассылке

В Службе реагирования на компьютерные инциденты «KZ-CERT» сообщили о выявлении вируса, который является документом Word и обходит средства защиты типа «песочницы». В «KZ-CERT» поступило обращение о ежедневно повторяющейся рассылке, которая содержит вложение в виде файла Word под названием 945kaz. Проведенный экспертами анализ позволил классифицировать данный инцидент ИБ как «Вредоносная активность», сообщили корреспонденту центра деловой информации Kapital.kz в пресс-службе компании.

«Распространение вирусов в документе Word не является уникальным случаем, и подобные инциденты ИБ уже известны. Однако, в случае с обнаруженным файлом, уникальность заключается в том, что вирус активируется только после третьей перезагрузки компьютера, что усложняет детектирование антивирусными программами и песочницами, а также расследование инцидента. Проще говоря, после открытия документа Word и активации исполнения макросов, вирус готовит платформу для основного вредоносного ПО», - указывается в сообщении.

Причем, делается это таким образом, чтобы максимально затруднить выявление основного функционала.  До третьей перезагрузки компьютера (с момента активации макросов в документе) исполнения реального вредоносного функционала не происходит.

Основной функционал данного вредоносного объекта заключается в загрузке и исполнении произвольного кода (базонезависимого, а не стандартного исполняемого файла) с сервера злоумышленников. Также, благодаря приемам противодействия исследованию, злоумышленникам удастся скрыть от автоматического анализа сервер, с которого происходит загрузка реального кода.

«Инцидент можно классифицировать как достаточно опасный, поскольку подобная схема позволяет исполнить любой код, при этом, обеспечивая возможности для его оперативного изменения», - предупредили в «KZ-CERT» и рекомендовали обновить антивирусное программное обеспечение, а также включить автоматическую проверку файлов на наличие угроз.