Obnażamy Microsoft Word Intrudera – narzędzie do tworzenia złośliwego oprogramowania

Microsoft Word Intruder (MWI) to narzędzie stworzone przez rosyjskiego programistę, które nawet laikowi pozwala w łatwy i zautomatyzowany sposób tworzyć szkodliwe oprogramowanie. Badacz SophosLabs, Gabor Szappanos, postanowił rozłożyć je na czynniki pierwsze.

Narzędzia do tworzenia złośliwego oprogramowania nie są niczym nowym – pierwsze z nich (VCL, PS-MPC) tworzone były już na początku lat 90 i działały w środowisku MS-DOS. Narzędzia te pozwalały osobom bez zaawansowanej wiedzy z zakresu programowania, czy budowy systemów operacyjnych stać się częścią społeczności hakerów.

Dziś rola tego typu narzędzi jest zupełnie inna – stały się źródłem zarabiania pieniędzy. Choć złośliwe oprogramowanie w MS Office nie jest już tak popularne jak w latach 90-tych to narzędzia do jego tworzenia nadal istnieją, a najpopularniejszym z nich jest wspomniany wcześniej Microsoft Word Intruder, stworzony przez rosyjskiego programistę, znanego jako Objekt.

Nabywca programu może za niewielką opłatą umieścić złośliwe oprogramowanie w spersonalizowanych dokumentach RTF, a następnie rozesłać je do potencjalnych ofiar. Co ciekawe, użytkownicy muszą przestrzegać regulaminu! Twórca programu wymaga od nich dyskrecji – nie ma ograniczeń co do rodzaju tworzonego malware, jednak user musi zadeklarować, że nie będzie przeprowadzał dystrybucji zakrojonych na szeroka skalę i ściągał na siebie niepotrzebnej uwagi. Czy taki model się sprawdza?

Mimo, że narzędzie Microsoft Word Intruder reklamowane jest jako rozwiązanie dla ataków targetowanych, które zazwyczaj kojarzone są z atakami na instytucje państwowe, wydaje się, że jego użytkowników stanowią głównie cyberprzestępcy skupieni na zarabianiu pieniędzy, przeprowadzający mniejsze, niestandardowe kampanie malware. Dzięki MWI powstały trojany bankowe, boty czy narzędzia zdalnego dostępu: MWI stworzył i dostarczył je wszystkie bez ściągania na siebie niepotrzebnej uwagi – mówi Gabor Szappanos z SophosLabs.

Malware stworzone przez MWI można podzielić na dwa typy: droppery i downloadery. Te pierwsze instalują złośliwe oprogramowanie ukryte w plikach RTF bezpośrednio na komputerze ofiary, podczas gdy downloadery pobierają dodatkowy kod, komponenty lub inne złośliwe pliki z adresów URL ukrytych w dokumencie.

Więcej na temat narzędzia Microsoft Word Intruder (MWI) dostępne jest w pełnej wersji raportu pod adresem:

https://www.sophos.com/en-us/medialibrary/PDFs/technical%20papers/sophos-microsoft-word-intruder-revealed.pdf?la=en

Podziel się na:
  • Facebook
  • Google Bookmarks
  • Blip
  • Wykop
  • Live
  • Twitter
  • PDF

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *