HP Wolf Security 的安全研究人员设法隔离了一个使用 OpenDocument 文本文件进行分发的恶意软件活动。这一特定活动是针对包括巴西、阿根廷、智利、秘鲁、哥伦比亚和哥斯达黎加在内的几个南美国家酒店业的大型活动的一部分。
使这个特定的恶意软件活动变得有趣的是在攻击中使用了 OpenDocument 文本文件。所有主要的办公应用程序,包括 Microsoft Office、LibreOffice 和 Apache OpenOffice,都支持该格式,这使其成为进行攻击的理想格式。
由于它在恶意软件攻击中不太常用,因此它是一种计算机用户可能不太怀疑的文件格式。带有 Office 文档附件、PDF 文档甚至可执行文件的电子邮件是常用的,用户可能更清楚这些文档的潜在危险。
威胁参与者在文档中引用了远程托管的对象,但未包含任何宏;这样做是为了逃避检测,因为防病毒引擎可能会标记使用宏的文档。
研究人员在 6 月下旬发现了恶意软件活动,并注意到恶意 OpenDocument 文档在 7 月的第一周没有被任何 VirusTotal 的防病毒引擎拾取。
虚假预订请求电子邮件
攻击者使用电子邮件中的虚假预订请求来引起酒店员工的注意。恶意 OpenDocument 文件附加到电子邮件中,旨在看起来像合法请求。在一封电子邮件中,文件的标题表明这是一个预订请求。
当用户单击它时,在 Office 程序中打开的文档被设置为 Office 格式的默认文件处理程序。加载文档时,会显示一条错误消息,提示用户采取措施。它显示了一条神秘的消息——该文档包含可能引用其他文件的字段。是否要更新此文档中的字段?– 有和没有选项。
选择“是”在系统上打开一个 Excel 电子表格。Excel 电子表格包含一个宏。大多数 Office 程序默认阻止执行宏,但会为用户提供启用宏的选项。
然后在电子表格应用程序(例如 Microsoft Excel)中显示另一个提示,提示用户启用宏。“启用宏”的选择触发了感染链,从而导致计算机被 AsyncRAT 有效负载感染。
微软计划未来在 Office 文档中默认屏蔽来自 Internet 的宏,并移除这些文档的“启用”提示。虽然用户仍然可以为特定文档启用宏,但这样做需要更多的工作,并且应该防止将来大多数用户意外执行带有宏的文档。
感染链
OpenDocument 文件不常用于恶意软件活动。活动中使用的文档在分析时不包含任何宏,无论是否隐藏。惠普安全研究人员发现该文档引用了远程托管的对象链接和嵌入 (OLE) 对象。其中一份分析文档引用了 20 个远程托管对象。
当用户在打开附加到电子邮件的文档后选择“是”选项时,从引用的远程位置下载引用的对象。下载包括 Excel 电子表格,其中包括宏。然后,Office 应用程序会提示用户启用或禁用宏。
作为 Excel 文档一部分的宏使用 Windows 的 mshta.exe 工具从 Internet 下载和执行代码。随着“PowerShell、VBScript 和批处理脚本的复杂链”的执行,事情开始加速。最终,开源远程访问木马AsyncRAT被解码执行。
恶意软件会创建一个计划任务以试图使感染持续存在。该任务旨在以两小时的间隔启动恶意软件。
原创文章,作者:校长,如若转载,请注明出处:https://www.yundongfang.com/Yun177419.html
微信扫一扫不于多少! 
支付宝扫一扫礼轻情意重 