Néhány éve (van az már másfél évtizede is) a makrovírusok voltak talán az egyik legnépszerűbb károkozó-család. Viszonylag egyszerű volt elkészíteni, és egy preparált dokumentummal célba lehetett juttatni. Az, hogy az elmúlt években ismét népszerűvé vált, többek között annak köszönhető, hogy a víruskeresők sokszor nem „látják”. Persze ettől még nem egyszerű elindítani egy makrovírust, mert alapértelmezett beállításnál az Office nem futtatja le automatikusan a marót, tehát rá kell venni a felhasználót, hogy ő indítsa el, pontosabban engedélyezze a makrók futását.

Ez csak "majdnem" makró

A Bitztonságportál készített egy összefoglalót arról az új, alapvetően makrovírusok egy speciális típusára épülő támadási módszerről, melyet először a SensePost kutatói írta le még az év elején. Észrevették, hogy az Office alkalmazások nem csak makrókkal vehetők rá arra, hogy nemkívánatos műveleteket hajtsanak végrehajtására. Az alkalmazásokban van egy DDE (Dynamic Data Exchange) funkció, amely az Office alkalmazások közötti adatcserét biztosítja. Bár a gyakorlatban már felváltotta az OLE (Object Linking and Embedding) technológia, de még a legújabb Word, Excel is megőrizte a DDE-támogatást.

A folyamat nagyon hasonlít ahhoz, ami a makrovírusoknál történik: a felhasználó kap – jellemzően e-mailben – egy preparált dokumentumot, amit ha megnyit, elindul(hat) a fertőzés. A támadók dokumentum egy eldugott szegletében elrejtenek egy mezőt, amely arra utasítja az adott Office alkalmazást, hogy egy másik Office program helyett parancssori ablakot nyisson, és abban különféle műveleteket hajtson végre.

Figyelmeztet az Office, mégis működik a vírus

A legjobb az egészben, hogy az Office ilyenkor minden esetben figyelmeztet, hogy a háttérben elindul egy program. Sőt, alapesetben két figyelmeztetés is megjelenik” Először egy fájlhivatkozásra hivja fel a figyelmet, és csak a második körben szól, hogy indul egy alkalmazás (cmd.exe). A SensePost szerint annyit lehet trükközni csupán, hogy a második párbeszédablak ne jelenjen meg. A figyelmeztetés azonban egyértelműen mutatja a felhasználóval, hogy valami nem stimmel. Nos, ezt a figyelmeztetést nem kellene félvállról venni. Még akkor sem, ha a vírusvédelem nem riaszt, a víruskeresők ugyanis ezt a típusú támadást nem minden esetben azonosítják.

Hiába tárta fel a problémát már az év elején a SensePost, hiába küldte el elemzéseit a Microsoftnak, és hiába figyelmeztet a veszélyre az Office, csak sikerült összehozni sikeres DDE-alapú támadásokat. Az elemzések szerint a FIN7 néven futó hackercsoport például célzott támadásokhoz használta. A FIN7 eddigi tevékenységéből az valószínűsíthető, hogy elsősorban pénzintézetek ellen vethették be.