Хакеры используют элементы ActiveX для запуска вредоносного кода

Хакеры используют элементы ActiveX для запуска вредоносного кода

Как правило, решения по безопасности пропускают документы, использующие элементы ActiveX для запуска кода при их открытии.

В конце августа нынешнего года исследователи компании Cisco зафиксировали кампанию по распространению документов MS Office, содержащих вредоносный VB (VisualBasic) макро-скрипт, запускавшийся при открытии файла. Однако документы не включали стандартные события (Document_Open или Auto_Open), используемые для активации макроса. Как показал анализ, все файлы содержали элемент управления ActiveX InkPicture и событие Painted.

Как пояснил эксперт Cisco Росс Гибб (Ross Gibb), при помощи элементов управления ActiveX, таких как InkPicture или MultiPage и связанных с ними событий, злоумышленник может создать вредоносные документы, при открытии которых макрос запускается автоматически. Как правило, решения по безопасности при сканировании документов обращают внимание только на стандартные события, и, скорее всего, «пропустят» документы, использующие элементы ActiveX для запуска кода при их открытии.

По словам исследователя, помимо события Painted, для запуска скрипта могут использоваться события Painting или MouseHover. Если применяется последнее, код выполняется автоматически при наведении мышки на открытый документ.

Хотя документы Microsoft Office не запускают по умолчанию недоверенные макросы, подобная тактика злоумышленников приносит свои плоды, учитывая, что многие пользователи вручную активируют макросы. Согласно прогнозам специалистов Cisco, киберпреступники продолжат расширять сферу использования компонентов ActiveX и разрабатывать новые техники для уклонения от обнаружения.

Ваша приватность умирает красиво, но мы можем спасти её.

Присоединяйтесь к нам!