Niebezpieczny załącznik OneNote prowadzący do trojana Formbook
Cyberprzestępcy od dawna wykorzystują dokumenty pakietu Microsoft do rozpowszechniania złośliwego oprogramowania i zawsze eksperymentowali z nowymi sposobami i mietodami dostarczania złośliwych pakietów. Tym razem Trustwave SpiderLabs zidentyfikował grupę cyber przestępczą wykorzystującą dokument OneNote do rozpowszechniania złośliwego oprogramowania Formbook, trojana kradnącego informacje z przeglądarek internetowych, aplikacji, które sprzedawane są na forach hakerskich w sieci Darknet. To złośliwe oprogramowanie ma również funkcję keyloggera i może wykonywać zrzuty ekranu.
Badacze z Trustwave SpiderLabs zweryfikowali wiadomość e-mail z załącznikiem *.one. Przesyłanie pocztą e-mail, plików programu OneNote jest bardzo nietypowe. Po otwarciu załącznika programu OneNote, wymagane jest kliknięcie w pole obrazkowe „wyświetl dokument”, po czym pojawia się ostrzeżenie o zabezpieczeniach.
Rysunek 1 Załączony plik programu OneNotepdf172.one Źródło Trustwave SpiderLabs
Jednym z rozpakowanych składników jest plik skryptu systemu Windows (WSF), nakładany na część obrazu „Wyświetl dokument”. Gdy użytkownik kliknie część obrazu „Wyświetl dokument”, powoduje to wykonanie skryptu z pliku WSF i wyzwolenie standardowego alertu bezpieczeństwa, z informacją, że plik jest otwierany z aplikacji OneNote. Interesująca jest również nazwa pliku WSF, zawiera próbę oszukania skanerów antywirusowych. Nazwa pliku zawiera znak zastępujący pisany od prawej do lewej (U+202E) po słowie „faktura”, co powoduje, że następujący po nim tekst jest wyświetlany w odwrotnej kolejności. Dlatego zamiast wyświetlania „docx.wsf” niektóre aplikacje mogą wyświetlać „fsw.xcoD”.
Po kliknięciu w część obrazu „Wyświetl dokument”, następuje wykonanie pliku WSF i wyzwolenie standardowego alertu bezpieczeństwa, że plik zostanie otwarty w aplikacji OneNote.
Rysunek 2 Plik WSF nałożony na obraz Źródło Trustwave SpiderLabs
Jeśli ostrzeżenie zostanie zignorowane i po kliknięciu „OK” WSF osadzony w pliku OneNote uruchamia polecenia „PowerShell” w celu pobrania i wykonania dwóch plików
Rysunek 3 WSF zawarte w załączniku programu OneNote Źródło Trustwave SpiderLabs
Pierwszym pobieranym plikiem jest fałszywy plik programu OneNote, pobrany został z a0745450[.]xsph[.]ru/INVESTEMENT[.]one i zapisany w %temp%\invoice.one. Drugi plik wykonywalny pobierany jest z a0745450[.]xsph[.]ru/DT6832.exe i zapisany %temp%\system32.exe. jest to złośliwe oprogramowanie Formbook.
Plik skryptu WSF osadzony w dokumencie programu OneNote prawdopodobnie nie zostanie wykryty przez systemy zabezpieczające urządzenia końcowe. Oznacza to również, że pliki OneNote mogą teraz dołączyć do listy innych dokumentów pakietu Office, które należy sprawdzać pod kątem złośliwych składników. Jak wspomniano wcześniej, pliki *.one dołączane do wiadomości e-mail są bardzo nietypowe. Organizacje powinny rozważyć blokowanie lub oflagowanie przychodzących załączników do wiadomości e-mail z rozszerzeniem *.one.
Hasze
Pdf172.one (306792 bytes)
81bd8c431811f83f335735847d42fb4f64f80960 (SHA1)
DT6832.exe (218925 bytes)
d5ee9183be486bf153d7666ca4301e600ea06087 (SHA1)
INVESTMENT.one (59472 bytes)
33d8fb75f471bdc4ebaff053e87146721f32667a (SHA1)
URLs
a0745450[.]xsph[.]ru/DT6832[.]exe