Malware dựa trên Macro đang trở lại

Trong nhiều tháng qua, các nhóm tấn công khác nhau đã phát tán phần mềm độc hại thông qua các tài liệu Microsoft Office có chứa macro độc hại. Một kỹ thuật đã lỗi thời trong hơn một thập kỷ qua dường như đang quay trở lại.

Macros là các scipt có chứa các lệnh tự động thực hiện các công việc trong các ứng dụng khác nhau. Các chương trình Microsoft Office như Word và Excel hỗ trợ macro viết bằng Visual Basic for Applications (VBA) và chúng có thể được sử dụng cho các hoạt động độc hại như cài đặt phần mềm độc hại.

Để tránh việc bị tin tặc lợi dụng, bắt đầu từ Office XP, phát hành vào năm 2001, người dùng được yêu cầu đồng ý trước khi thực hiện macro chưa được đăng ký nhúng trong các file, đây là lý do chính tại sao những kẻ tấn công đã ngừng sử dụng macro mà sử dụng các phương pháp phát tán phần mềm độc hại khác.

Tuy nhiên, có vẻ như khi kết hợp với phương pháp đột nhập phi kỹ thuật, phương pháp này vẫn mang lại hiệu quả và một số nhóm tin tặc gần đây đã bắt đầu khai thác điều đó.

“Trung tâm chống phần mềm độc hại của Microsoft (MMPC) gần đây đã quan sát thấy số lượng các mối đe dọa sử dụng macro để lây lan mã độc hại ngày càng tăng”, nhà nghiên cứu phần mềm độc hại từ Microsoft cho biết trong một bài đăng blog thứ Sáu tuần trước (2/1).

Hai mối đe dọa này chủ yếu nhắm vào người dùng ở Mỹ và Vương quốc Anh, chúng hoạt động mạnh nhất vào giữa 12 và được gọi là Adnel và Tarbir. Cả hai đều được phát tán thông qua các macro nhúng trong các tài liệu .doc và .xls, được gửi qua email spam và thường “đội lốt” biên lai, hóa đơn, xác nhận chuyển khoản và thông báo vận chuyển.

Khi được mở ra, các tài liệu cung cấp cho các nạn nhân từng bước hướng dẫn về cách kích hoạt để chạy các macro không tin cậy, các nhà nghiên cứu của Microsoft cho biết. “Sự kết hợp của các tài liệu hướng dẫn, thư rác với hỗ trợ nội dung tiền tệ, và một tên tập tin dường như có liên quan, có thể đủ để thuyết phục người dùng không nghi ngờ mà nhấn nút xem nội dung”.

Một chương trình phần mềm độc hại khác đang được phát tán thông qua các macro được gọi là Dridex và nhắm vào người dùng ngân hàng trực tuyến. Vào tháng 1, thời kỳ hoạt động đỉnh điểm, các chiến dịch thư rác liên quan đến Dridex phát tán lên đến 15.000 tài liệu với các macro nguy hiểm mỗi ngày, theo các nhà nghiên cứu từ hãng bảo mật Trustwave.

Các văn bản được phát tán dưới dạng hóa đơn từ các công ty phần mềm, các nhà bán lẻ trực tuyến, các tổ chức ngân hàng và các công ty vận chuyển.  Một số trong đó có hướng dẫn về cách kích hoạt chạy macro, các nhà nghiên cứu Trustwave cho biết qua email.

Không chỉ giới tội phạm mạng bắt đầu quay lại sử dụng các kỹ thuật macro, mà còn có cả những kẻ tấn công được nhà nước bảo trợ. Các nhà nghiên cứu Gadi Evron và Tillmann Werner gần đây đã trình bày phân tích của họ về một hoạt động gián điệp mạng có tên gọi Rocket Kitten tại Chaos Communication Congress ở Hamburg. Những kẻ tấn công nhắm vào chính phủ và các tổ chức học thuật tại Israel và Tây Âu, bằng cách sử dụng email lừa đảo có chứa các tập tin Excel với các macro nguy hiểm. Khi được khởi động, các macro cài đặt một backdoor tinh vi.

Một chiến dịch gián điệp mạng sử dụng các tài liệu Word với các macro nguy hiểm là CosmicDuke, được phát hiện vào tháng 9/2014 và nhắm mục tiêu vào ít nhất là  một Bộ Ngoại giao châu Âu. “Khi bạn mở các tập tin đính kèm email, các tài liệu Word sẽ giúp bạn kích hoạt macro bằng cách hướng dẫn bạn bấm vào xem nội dung”, nhà nghiên cứu từ F-Secure cho biết hôm thứ Tư trong một bài đăng blog thảo luận về các kết nối giữa CosmicDuke, MiniDuke và các chương trình phần mềm độc hại OnionDuke.

Pcworld