Személyes és üzleti adataink digitális biztonsága

Adatvédelem & Informatikai biztonság

Új makróvírus: Windows, Mac egyre megy

2017. május 05. - ITsec

Szerző: Biztonságportál | Utolsó módosítás: 2017.03.28.

https://biztonsagportal.hu/uj-makrovirus-windows-mac-egyre-megy.html

Egy olyan makróvírus terjed fertőzött, Word dokumentumokban, amely a Windows mellett a Mac számítógépekre nézve is kockázatot jelent.

A makróvírusok - csakúgy mint a legtöbb kártékony program - a Windows alapú számítógépek ostromlására képes. Gyakran Word, Excel és egyéb Office fájlokban terjednek. A Fortinet kutatói által felfedezett makróvírus is Word dokumentumokban ütötte fel a fejét, de az elődjeihez képest van egy további aggályos jellemzője: Mac OS X, illetve macOS alatt is képes károkozásra. A fertőzést annak megfelelően hajtja végre, hogy éppen milyen operációs rendszerrel van dolga. Viszont minden esetben a célja, hogy további ártalmas kódokat, programokat juttasson fel a számítógépekre, illetve azokon nemkívánatos műveleteket hajtson végre.
 
Kezdetben minden szokványos, de aztán...
 
Az új makróvírus a károkozásának első lépésekor semmiféle szokatlan tevékenységet nem végez más, hasonló károkozókhoz képest. Így amikor a felhasználó megnyit egy fertőzött Word állományt, akkor egy figyelmeztetés jelenik meg, és az Office a marók veszélyeire hívja fel a figyelmet. A csalók ez esetben úgy próbálják megtéveszteni a potenciális áldozataikat, hogy a dokumentumaikat védettnek tüntetik fel, és a védelem feloldása érdekében kérik az engedélyek megadását. Ha a felhasználó bedől a trükknek, és engedélyezi a makrók futtatását, akkor a károkozás rögtön kezdetét veszi.



Forrás: Fortinet

 
Ettől kezdve azonban a makróvírus különböző viselkedést mutat az operációs rendszerek függvényében. Ha egy Apple gépre kerül fel, akkor az alapértelmezettként telepített Python adta lehetőségekkel él vissza, és egy Python scriptet futtat le. Ez a script további, nemkívánatos kódokat tölt le az interneten keresztül. Az adatkommunikáció során elsősorban a 443-as port jut szerephez.
 
Ha pedig egy Windows-os PC esik a károkozó áldozatául, akkor a parancssoros ablak (cmd.exe), illetve a PowerShell kerül középpontba. Ezek segítségével a makróvírus különféle fájlokat szerez be, amelyek között legalább egy DLL-állomány is megtalálható. A beszerzett állományok pedig további károkozások forrásául szolgálhatnak.
 
A makróvírus tehát Windows és Mac alapú számítógépeken is képes szolgálni a támadók céljait. Ezért a védekezés szempontjából a legfontosabb tanulság, hogy Mac-en sem célszerű óvatlanul engedélyezni az Office dokumentumokban lévő makrókat.