Хакеры научились использовать документы Word для майнинга криптовалюты

23 Февраль 2018

Злоумышленники не перестают искать новые способы для майнинга криптовалюты, используя для этого все доступные возможности. Как раз новый метод добычи цифровых денег недавно сама того не подозревая предоставила им компания Microsoft, реализовав свое очередное новшество.

Благодаря усилиям аналитиков из компании Votiro и их коллег из Bleeping Computer стало известно, что злоумышленники открыли для себя новый способ майнинга криптовалюты через документы Microsoft Word. Это опровергает уже давно устоявшееся мнение относительно того, что майнеры могут проникать на компьютеры своих жертв только через браузеры. Эксперты установили, что вредоносный код JavaScript может проникать на компьютеры совершенно иным способом. Новая возможность появилась у них благодаря последним нововведениям Microsoft. Не так давно компания решила облегчить своим пользователям вставку видео в документы Word и добавила новую функцию в офисный пакет. Это нововведение позволяет людям добавлять видеоролик в сам файл документа.

По мнению экспертов, если в код видео встроить скрытый майнер, то пользователь при добавлении видео в свой документ даже не заметит, когда на его компьютер проникнет майнер.

Новая функция сама по себе очень полезна. После встраивания кода iframe в специальное поле, которое появляется во всплывающем окне, видео начинает отображаться в документе каждый раз, когда пользователь будет к нему обращаться. Для запуска воспроизведения видео пользователю просто нужно нажать на кнопку Play. После этого должен запуститься браузер Internet Explorer, который уже предустановлен на всех компьютерах, работающих под управлением операционной системы Windows. Именно в нем осуществляется загрузка и воспроизведение видео. Это является одним из факторов, способствующих проникновению майнер на компьютер жертвы. Вторым фактором можно назвать отсутствие проверки источников загрузки кода iframe.

Видео со встроенным кодом майнера злоумышленники могут разместить на своем сайте, но это еще не даст им желаемой выгоды. Чтобы запустить майнер и заставить компьютер жертвы с его помощью добывать криптовалюту, хакеру нужно заставить пользователей встроить код видео в свой документ Microsoft Office и вынудить их открывать этот документ ежедневно и запускать для просмотра видео. Добыча криптовалюты будет продолжаться ровно столько времени, сколько на компьютере жертвы будет длится воспроизведение видео.

Эксперты уверены, что такой вид атак вряд ли обретет популярность среди злоумышленников, так как он слишком сложный и малоприбыльный. Для добычи большого количества криптовалюты пользователи должны как можно дольше находиться на зараженном сайте. Именно поэтому скрипты криптомайнеров чаще всего появляются на ресурсах с фильмами для взрослых, сайтах с пиратским онлайн-видео и пр. Тут уже заведомо понятно, что человек будет находиться на таком сайте до тех пор, пока не посмотрит понравившееся видео. В таких случаях добыча криптовалюты осуществляется намного проще, чем в случае с документами Microsoft Office.

Но если рассмотреть проблемы с документами более глобально, то мошенники могут использовать уязвимость не только для майнинга, но и для осуществления другого типа атак. Например, для создания фишинговых страниц и заполучения личных данных пользователей. Злоумышленники могут после встраивания видео показывать человеку уведомление о том, что просмотр доступен только после авторизации. С помощью такой нехитрой манипуляции хакеры могут заставить пользователя ввести свои личные данные или пройти авторизацию с помощью своего аккаунта в социальной сети, тем самым тоже предоставляя мошенникам доступ к личной информации.

Сразу же после обнаружения специалисты сообщили компании Microsoft о проблеме, но та отказалась ее исправлять.