Вредоносный макрос в документах Office нашёл новые способы избежать обнаружения

Создатели вредоносного ПО являются одними из самых талантливых программистов, всегда находя возможность усложнить жизнь пользователям и специалистам по цифровой безопасности. В результате сетевые угрозы постоянно эволюционируют и принимают новые формы. Об одной из них рассказывает американская компания Zscaler.

Анализируя недавние примеры вредоносного кода, эксперты наткнулись на опасные документы Microsoft Office, в которых применялся макрос с методами социальной инженерии и противостоящий механизмам обнаружения. Использовалась обфускация (запутывание) кода для усложнения обнаружения и анализа вредоносного приложения.

Несмотря на это, в Zscaler смогли заглянуть внутрь кода. Макрос ищет в системах не только антивирусные приложения, но и виртуальные машины. Он использует три старых метода сканирования на наличие виртуальных машин и песочниц и интерфейс Windows Management Instrumentation (WMI).

Также в Zscaler обнаружено два новых трюка. Во-первых, просматривается список недавно открытых файлов Office. Если у инфицированной цели было меньше трёх файлов, выполнение вредоносной программы прекращалось. Причина - тестовые системы используют чистые версии операционной системы без следов активности пользователей. Второй трюк - использование сервиса Maxmind GeoIP. Проверялся IP-адрес пользователя и сравнивался со списком адресов фирм сетевой безопасности, датацентров и прочих сервисов анализа сетевых угроз.

В случае прохождения проверок Zscaler скачивает на инфицированные компьютеры трояны Matsnu, Nitol и приложение-вымогатель Nymaim.