Зловредов прячут в надстройках Office, созданных с помощью Visual Studio

Татьяна Никитина 03 Февраля 2023 - 18:17

Домашние пользователи

...

Эксперты Deep Instinct зафиксировали несколько атак, авторы которых используют надстройки VSTO (Microsoft Visual Studio Tools for Office) для доставки NET-зловредов в обход защиты Windows.

Вредоносная сборка чаще всего упакована вместе с документом, реже — загружается со стороннего сервера. Исполнение кода происходит при открытии файла в соответствующем офисном приложении (Word, Excel и проч.).

Согласно блог-записи Deep Instinct, присутствие VSTO-надстройки в файле можно определить по наличию пользовательских данных XML (custom.xml), по которым приложение находит и устанавливает целевую сборку.

Зависимости полезной нагрузки (скомпилированной в NET динамической библиотеки) хранятся вместе с документом, обычно внутри контейнера ISO. Злоумышленники задают этим файлам свойство «скрытый», чтобы создать видимость, будто архив содержит только документ Office.

При его запуске на экране появляется предложение включить режим редактирования — как в случае с макросом, только здесь еще требуется разрешение на установку надстройки для просмотра документа. Если пользователь даст согласие, система выведет предупреждение с кнопками выбора:

Образец пейлоада, обнаруженный в ходе одной из атак, исполнял закодированный и сжатый PowerShell-код, загружающий дополнительный скрипт с C2. Другой семпл хранился отдельно от документа на удаленном сервере; в его задачи входила доставка запароленного ZIP-архива с вшитого URL, распаковка содержимого в папку %\AppData\Local\ и запуск высвобожденного conhost.exe.

Финальную полезную нагрузку в обоих случаях определить не удалось: на момент анализа C2-серверы были недоступны.

Для демонстрации VSTO как вектора атаки аналитики создали PoC-код, умышленно выбрав пейлоад с высоким уровнем детектирования. Остальные компоненты с успехом обошли Microsoft Defender.

Атаки с использованием VSTO пока редки, однако исследователи не исключают, что этот вектор возьмут на вооружение APT-группы и другие хорошо обеспеченные хакеры. Это еще одна альтернатива макросам VBA, для которых Microsoft ввела дефолтную блокировку. Злоумышленники теперь опробуют другие методы доставки вредоносов, отдавая предпочтение форматам файлов, не вызывающим подозрение у защиты — таким как ISO, VHD, RAR, XLL.

Следующая главная новость »

Удалённый доступ 2026: почему VPN устарел и что вместо него?
Регистрируйтесь на эфир!

Яков Шпунт 07 Мая 2026 - 11:10

Соответствие законодательству РФ Домашние пользователи

Подсмотрел в чужой телефон? Можешь нарваться на уголовную статью

Излишнее любопытство может быть расценено как вмешательство в частную жизнь, если речь идёт о действиях, связанных со сбором и использованием защищённой информации. В таком случае просмотр содержимого чужого телефона может вступать в противоречие с действующим законодательством.

О том, что просмотр чужого телефона при определённых обстоятельствах может повлечь уголовную ответственность, рассказал ТАСС кандидат юридических наук, доцент кафедры гражданско-правовых дисциплин РЭУ им. Г. В. Плеханова Андрей Моисеев.

Речь идёт о статье 137 УК РФ — «Нарушение неприкосновенности частной жизни». Она предусматривает штраф до 300 тыс. рублей, обязательные или исправительные работы, а также лишение свободы на срок до пяти лет.

«По букве закона, в формулировке статьи подразумевается не только распространение, но и сбор информации. При этом использование каких-либо средств фиксации информации является одним из способов такого сбора информации. На мой взгляд, говорить об уголовном деле можно в тех случаях, если информация, полученная путём подглядывания, носит характер частной жизни. При этом водораздел проходит в тех случаях, когда сам обладатель этой информации относится к этой информации как к частной, принимает меры по её охране», — рассказал юрист.

Однако для привлечения к ответственности необходимо доказать умысел. Если человек просто случайно задержал взгляд на экране чужого телефона, доказать намеренное вмешательство будет сложно, отметил Андрей Моисеев.

Как показывают исследования, для сбора данных россияне чаще используют шпионское ПО. С тех пор ситуация существенно не изменилась. Обычно речь идёт о попытках контролировать членов семьи — супругов или детей. Однако встречаются и примеры, когда технические средства применяют для сбора компромата на коллег.

Удалённый доступ 2026: почему VPN устарел и что вместо него?
Регистрируйтесь на эфир!