Киберпреступники, работающие в сфере создания зловредных приложений, практически в ежедневном режиме демонстрируют невероятные чудеса изобретательности. На этот раз в сети начали распространяться сразу два новых вируса, которые используют для заражения операционной системы от Microsoft программы от самой Microsoft.
За созданием одного из них стоит хакерская группировка Fancy Bear, которая прославилась год назад благодаря взлому серверов Демократической партии США год назад. Именно этот взлом и слухи о том, что Fancy Bear спонсируется Россией и стали почвой для слухов о вмешательстве нашей страны в американские выборы. Примечательно, что вирус под названием Seduploader распространяется через Microsoft Word, но при этом совершенно не использует макрокоманды или "макросы" - кусочки исполняемого программного кода, встроенные в документ.
Согласно отчету работающей в сфере обеспечения кибербезопасности компании Trend Micro, хакеры рассылали файл под названием IsisAttackInNewYork.docx, в котором применялся Dynamic Data Exchange - стандартный для Word механизм исполнения кода, хранящегося в другом файле. Как рассказали эксперты, благодаря возможностям DDE, файл связывается с удаленным сервером и, в случае получения согласия от невнимательного пользователя, загружает на компьютер жертвы установщик вируса Seduploader, который сам по себе не содержит явного зловредного кода и потому не распознается антивирусными программами. В дальнейшем загруженный файл и устанавливал полную версию вируса.
Молниеносной оказалась и реакция Microsoft на появление новой угрозы. Уже на следующий день компания выпустила рекомендацию по безопасности, в которой объяснила, как пользователи могут избежать заражения. Оказалось, что им просто не надо давать свое согласие на загрузку дополнительных файлов, если их об этом попросит скаченный из ненадежного источника текстовый файл.
Другой случай использования использования продукта Microsoft в мошеннических целях нашла компания ESET. Специалисты обнаружили в сети поддельные копии популярного видеоредактора Windows Movie Maker, который входил в комплект поставки Windows XP. Напомним, что в этом году Movie Maker был официально снят с поддержки и загрузить программу с сайта IT-гиганта больше не представляется возможным. Благодаря этому поисковую выдачу заполонили сайты, распространяющие поддельную версию популярного видеоредактора.
При попытке установки фальшивое приложение запрашивает права на исполнение кода от имени администратора и благодаря этому устанавливает на компьютер жертвы вирус-шифровальщик. В результате большинство потенциально важных файлов на компьютере оказываются зашифрованными, а на мониторе появляется требование выкупа, необходимого для того, чтобы получить ключ, позволяющий вернуть утерянную информацию.
Обезопасить себя от этого вируса также довольно просто. Достаточно отказаться от использования устаревшего видеоредактора Windows Movie Maker и подыскать ему более современную и функциональную замену. Кроме того, во избежание заражения рекомендуем скачивать программы только с официальных сайтов их разработчиков, а также регулярно обновлять базу данных своего антивируса.