Wirusy VBA to przeszłość? A w życiu nigdy!

Na początku roku główny badacz Sophos – Gabor Szappanos, opublikował artykuł ,,VBA nie jest martwy". Dotyczył on ponownego pojawienia się złośliwego kodu Visual Basic, który służy do infekowania dokumentów. Najnowsze wyniki badań laboratorium Sophos pokazują, że aktywność tego malware stale rośnie. Odsetek szkodliwego oprogramowania dedykowanego dokumentom wzrósł z około 6 proc. w czerwcu 2014 roku do 28 proc. w lipcu 2014 r. Powstaje pytanie, czemu twórcy złośliwego oprogramowania zaczęli opierać się na VBA zamiast na stosowaniu innych exploitów?

Wzrost aktywności tego malware, wiąże się z,,zaletami” kodu VBA nad innymi rozwiązaniami wykorzystującymi błędy w oprogramowaniu. Visual Basic jest prosty do napisania, modyfikowania i dostosowywania. Podobną funkcjonalność można często wyrażać na wiele sposobów, dzięki czemu autor złośliwego kodu ma więcej opcji jego implementowania, niż w przypadku exploitów. Ponadto exploity są przywiązane do konkretnych wersji pakietu Microsoft Office, dlatego autorzy malware, mają nadzieję, że użytkownicy korzystają z zagrożonego atakiem pakietu lub takiego, który ma nieaktywną ochronę antywirusową.

Kod Visual Basic w przeciwieństwie do tego rozwiązania nie jest powiązany z konkretną wersją pakietu Office. Jest to jego niewątpliwa zaleta co nie oznacza, że nie posada on słabych stron. VBA nie radzi sobie z funkcjami Makr Microsoftu, dlatego w Office 2007 i późniejszych wersjach pakietu wszystkie Makra pochodzące z nieznanych źródeł są domyślnie wyłączane, a ich kod jest stosowany tylko przy zezwoleniu samego użytkownika. Aby obejść dane zabezpieczenia, autorzy złośliwego kodu VBA, stosują techniki inżynierii społecznej, aby skłonić użytkowników do uruchamiania makr.

VBA template

W przeciągu ostatnich kilku miesięcy SophosLabs odkrył liczne szablony VBA do pobrania. Próbki zawierają kod Visual Basic z pomocnymi uwagami, dotyczącymi miejsc w których należy umieścić niebezpieczne łącza, jak również o sposobach na zaciemnianie kodu. Template jest niezwykle prosty do zaprojektowania nawet przez początkującego programistę.

Zagrożenia, które wydawały się nieaktualne, po pewnym czasie mogą wrócić i oddziaływać ze zdwojoną siłą.

0
Źródło: Sophos
Zamknij

Choć staramy się je ograniczać, wykorzystujemy mechanizmy takie jak ciasteczka, które pozwalają naszym partnerom na śledzenie Twojego zachowania w sieci. Dowiedz się więcej.