Вредоносный макрос в документах Microsoft Word нашел новый способ избежать обнаружения

Вредоносный макрос в документах Microsoft Word нашел новый способ избежать обнаружения

Вредонос не запускается, если на компьютере не открывались файлы Word.

Авторы вредоносного ПО не устают изобретать новые способы усложнить жизнь пользователям и специалистам в области информационной безопасности. В результате сетевые угрозы постоянно эволюционируют и приобретают новые формы.

Исследователь компании SentinelOne Калеб Фэнтон (Caleb Fenton) обнаружил документ Microsoft Word с вредоносным макросом, способным противостоять механизмам обнаружения. В частности, вредонос проверяет историю недавно открытых документов Word и анализирует систему на наличие виртуальных машин. Если таковые присутствуют или на компьютере не открывались файлы Word, программа не демонстрирует никакой вредоносной активности. Червь также проверяет IP-адрес пользователя на предмет соответствия IP-адресам, связанным с различными хостинговыми и антивирусными компаниями.

По словам Фэнтона, как правило, большинство пользователей открывают на компьютере несколько документов. Тестовые системы используют «чистые» версии операционной системы без следов активности пользователей. Виртуальные машины могут быть использованы для анализа поведения вредоносного ПО. «Если вредонос достаточно умен для того, чтобы определить, когда тестируется на виртуальной машине, он может не проявлять подозрительную или вредоносную активность, тем самым усложняя обнаружение», - отметил исследователь.

Специалист провел небольшой эксперимент, в ходе которого ему удалось активировать вредоносное ПО и проанализировать его код. Как оказалось, вредонос запускал скрипт PowerShell, загружавший кейлоггер.

 

Тени в интернете всегда следят за вами

Станьте невидимкой – подключайтесь к нашему каналу.