21.02.2017

Analýza MS Word makroviru pro systém macOS

V poslední době se stále častěji vyskytují případy malwaru určeného pro alternativní operační systémy jako macOS nebo linux. Útočníci se zřejmě rozhodli cílit na sice méně početnou, ale zato zranitelnější komunitu.

Cover 15

Skutečně, přestože tyto systémy v současné době dohromady pokrývají jen něco okolo 10 % celkového trhu mezi desktopovými operačními systémy, útočníci i tak na tuto cílovou skupinu aktivně míří, a to jak na systémy založené na linuxu (Linux.Proxy.10, KillDisk), tak na systém macOS (Xagent, MacDownloader). A v nedávné době se objevil další kus malwaru, tentokrát sice zneužívající klasická makra v dokumentech MS Office, ovšem se zaměřením na macOS.

První zmínku o tomto malwaru uvedl Snorre Fagerland, norský bezpečnostní expert ze společnosti Symantec. Jedná se o DOCM soubor, tedy MS Word s možností spuštění maker, a server VirusTotal jej identifikoval jako Trojan.MAC.VBA. Originální název souboru je U.S. Allies and Rivals Digest Trump’s Victory - Carnegie Endowment for International Peace, což je chytré maskování. Carnegieho Nadace pro Mezinárodní Mír totiž skutečně v reakci na zvolení Donalda Trumpa americkým prezidentem vydala rozsáhlé vyjádření několika států světa.

Patrick Wardle, vedoucí výzkumu a vývoje ve společnosti Synack, na svém blogu následně provedl detailní analýzu tohoto malwaru. Součástí analýzy je i vzorek malwaru ke stažení, zájemcům však doporučujeme testovat s opatrností a za použití virtualizačních nástrojů. Na začátku analýzy bylo nutné nejprve získat daná makra ze souboru, aby je bylo možno analyzovat. Vzhledem k tomu, že formát DOCM je ve skutečnosti komprimovaný balík XML souborů, stačilo soubory extrahovat a najít binární soubor vbaProject.bin, v němž MS Word standardně ukládá svá makra.

Po získání maker a jejich dekódování lze následně určit, že se jedná o kód psaný v jazyce Python, který nejprve ověří absenci nástroje LittleSnitch, což je firewall pro systém macOS, a poté se pokusí navázat spojení se serverem, z nějž dále stáhne druhou část škodlivého kódu. Pokud se malwaru všechny kroky úspěšně podaří, umožní útočníkovi trvalý vzdálený přístup k systému oběti, a ten poté může dle libosti do jejího počítače nahrát jakýkoliv další malware.

Více na objective-see.com

Kam dál?