Італійський дослідник безпеки з InTheCyber Антоніо Буоно (Antonio Buono) виявив спосіб, що дозволяє створювати самовідтворюються шкідливе ПЗ з допомогою вбудованої функції Microsoft Office.

Використання самовоспроизводящегося ПО, що дозволяє макросів писати ще більше макросів, не є чимось новим. З метою захистити своїх користувачів від подібної загрози Microsoft навіть реалізувала в Office механізм безпеки, обмежує даний функціонал. Тим не менш, Буоно виявив простий спосіб обходу обмежень, за допомогою якого зловмисники можуть створювати самовідтворюються шкідливе ПЗ і приховувати його за невинною на перший погляд документом Word.

Дослідник повідомив Microsoft про виявленої проблеми в минулому місяці. Компанія відмовилася визнавати її вразливістю, хоча зловмисники, схоже, вже експлуатують її. Згідно з недавнім звітом Trend Micro, кіберзлочинці взяли на озброєння нове самовідтворюються вымогательское ЗА qkG на основі макросів, використовує описаний Буоно спосіб.

За даними Trend Micro, qkG був завантажений на VirusTotal кимось з В’єтнаму і більше схожий на експериментальний проект або PoC-код, ніж на повноцінну шкідливу програму. ЗА використовує техніку Auto Close VBA macro, що дозволяє виконувати шкідливі макроси, коли жертва закриває документ.

Microsoft деактивировала за замовчуванням зовнішні (недоверенные) макроси та зробила можливим для користувачів при необхідності включати надійний доступ до проектів VBA вручну. При активованому довіреному доступі Office довіряє всім макросів і автоматично запускає код без попередження безпеки і дозволу користувача.

За словами Буоно, включити або відключити модуль доступ можна шляхом внесення змін до реєстру Windows. Таким чином можна змусити макроси писати більше макросів без відома жертви.