Шкідливе програмне забезпечення типу DOC/TrojanDownloader.Agent намагаються поширити зловмисники за допомогою електронної пошти з прикріпленим файлом документом з розширенням “.docx”. Про це повідомляє прес-служба CERT-UA .

Метою даної розсилки є завантаження та запуск іншого шкідливого програмного забезпечення у випадку виконання макросу. Фахівці кібербезпеки CERT-UA встановили, що при відкритті документу “xxx.docx” відбувається завантаження іншого файлу з адреси “hххp://185.203.118.198/documents/Note_template.dotm” та його запуск у інфікованій системі.

Таким чином виникає можливість віддаленого проникнення в систему для різних цілей, одна з яких може бути виведення з ладу інфікованої системи.

Код завантаження іншої шкідливої програми з адреси 185.203.118.198 прописується в компоненті “…word/_rels/settings.xml.rels” документу “xxx.docx“. При відкритті “xxx.docx” відкривається вікно з повідомленням:

А після декількох секунд повідомлення зникає та відкривається наступне:

У результаті активації документу “xxx.docx” в інфікованій системі змінюються реєстрові значення, включаючи Інтернет-налаштування, значення конфігурації редактора Word та створюються додаткові файли.

Зазначаємо, що при завантажені додаткової шкідливої програми (експлойта) ймовірна крадіжка паролів, даних системи і користувачів та спроби інфікування USB-носіїв.

За інформацією фахівців, завантажений файл з адреси 185.203.118.198 ідентифікувався як вірус Zebrocy,  метою якого є крадіжка інформації групою Sednit (відома як APT28 або Sofacy, або STRONTIUM).

Як убезпечити себе від вірусу?

  • уникайте повідомлень вказаного та схожого змісту та застережіть персонал від запуску вкладень у підозрілих повідомленнях та файлів з виконуваними форматами ;
  • зверніть увагу на фільтрування вхідних/вихідних інформаційних потоків, зокрема поштового веб-трафіку, налаштуйте захист від спаму та підробки адреси відправника за допомогою технологій DKIM, SPF, DMARC;
  • перевірте журнальні файли на предмет наявності записів з зазначеними вище індикаторами;
  • обмежіть можливість запуску виконуваних файлів (*.exe,*.js, *com, *.bs ) на комп’ютерах користувачів з директорій %TEMP%, %APPDATA%;
  • регулярно оновлюйте антивірусну базу та сканувати потенційно заражені системи;
  • регулярно робіть резервні копії важливого програмного забезпечення та даних;
  • періодично робіть повну перевірку “чутливих” комп’ютерів на предмет наявності шкідливого програмного забезпечення;
  • регулярно оновлюйте програмне забезпечення в тому числі компоненти системи;
  • зверніть особливу увагу на версії Microsoft Office, чи було здійснено оновлення, якщо вона ліцензійна;
  • виключити макроси;
  • перевірити налаштування Microsoft Word для обмеження чи заборони мережевого трафіку і дозволити тільки оновлення;
  • також, рекомендуємо адміністраторам слідкувати за спробами підключення до зазначеної адреси, для виявлення потенційно заражених систем;
  • звернути увагу на налаштування політики користування USB носіїв для обмеження інфікування шляхом їх використання.
Автор: Олена Кожухар