Зловредов прячут в надстройках Office, созданных с помощью Visual Studio

Зловредов прячут в надстройках Office, созданных с помощью Visual Studio

Зловредов прячут в надстройках Office, созданных с помощью Visual Studio

Эксперты Deep Instinct зафиксировали несколько атак, авторы которых используют надстройки VSTO (Microsoft Visual Studio Tools for Office) для доставки NET-зловредов в обход защиты Windows.

Вредоносная сборка чаще всего упакована вместе с документом, реже — загружается со стороннего сервера. Исполнение кода происходит при открытии файла в соответствующем офисном приложении (Word, Excel и проч.).

Согласно блог-записи Deep Instinct, присутствие VSTO-надстройки в файле можно определить по наличию пользовательских данных XML (custom.xml), по которым приложение находит и устанавливает целевую сборку.

 

Зависимости полезной нагрузки (скомпилированной в NET динамической библиотеки) хранятся вместе с документом, обычно внутри контейнера ISO. Злоумышленники задают этим файлам свойство «скрытый», чтобы создать видимость, будто архив содержит только документ Office.

При его запуске на экране появляется предложение включить режим редактирования — как в случае с макросом, только здесь еще требуется разрешение на установку надстройки для просмотра документа. Если пользователь даст согласие, система выведет предупреждение с кнопками выбора:

 

Образец пейлоада, обнаруженный в ходе одной из атак, исполнял закодированный и сжатый PowerShell-код, загружающий дополнительный скрипт с C2. Другой семпл хранился отдельно от документа на удаленном сервере; в его задачи входила доставка запароленного ZIP-архива с вшитого URL, распаковка содержимого в папку %\AppData\Local\ и запуск высвобожденного conhost.exe.

Финальную полезную нагрузку в обоих случаях определить не удалось: на момент анализа C2-серверы были недоступны.

Для демонстрации VSTO как вектора атаки аналитики создали PoC-код, умышленно выбрав пейлоад с высоким уровнем детектирования. Остальные компоненты с успехом обошли Microsoft Defender.

Атаки с использованием VSTO пока редки, однако исследователи не исключают, что этот вектор возьмут на вооружение APT-группы и другие хорошо обеспеченные хакеры. Это еще одна альтернатива макросам VBA, для которых Microsoft ввела дефолтную блокировку. Злоумышленники теперь опробуют другие методы доставки вредоносов, отдавая предпочтение форматам файлов, не вызывающим подозрение у защиты — таким как ISO, VHD, RAR, XLL.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

77% экспертов считают: российские мессенджеры готовы заменить западные

По итогам эфира AM Live «Российские мессенджеры для бизнеса» представители «МТС Линк» пообщались с 18 экспертами — девятью директорами по ИТ и девятью руководителями по информационной безопасности крупных российских компаний. Результаты опроса показали: 77% участников уверены, что отечественные мессенджеры смогут стать полноценной заменой зарубежным.

Верят в технологии, но не в интерфейс

Большинство специалистов сомневаются не в технической базе, а во внешнем облике и пользовательском опыте. «Изобретать велосипед» — то, чего, по мнению респондентов, стоит избегать. Функционал и безопасность — на уровне, а вот дизайн и UX ещё можно улучшить.

Главный барьер — не технологии, а привычки

Даже в компаниях, где вопросы безопасности критичны, нередко продолжают пользоваться Telegram или WhatsApp (принадлежит корпорации Meta, признанной экстремистской и запрещённой в России). Причина проста: инерция и бюджеты. Бесплатные версии зарубежных мессенджеров оказываются более привлекательными, чем покупка корпоративного решения.

Эксперты считают, что ИТ-директорам и специалистам по ИБ стоит активнее работать с пользователями — объяснять риски общения в публичных чатах и доносить до руководства, что инвестиции в отечественные решения — это не роскошь, а защита данных и бизнеса.

Для заказчиков ключевое требование к мессенджеру — информационная безопасность. Среди обязательных функций: шифрование, двухфакторная аутентификация, контроль прав доступа и управление структурами команд.

Респонденты всё чаще ждут от корпоративных мессенджеров возможности интеграции с ИИ — от саммари переписки до подключения интеллектуальных ассистентов. Также остаются важными кроссплатформенность и совместимость с другими корпоративными системами.

Комментарий Андрея Лучицкого, руководителя продукта «Чаты» от МТС Линк:

«Недавно мы опросили сотрудников крупных компаний и выяснили, что треть сталкивалась с дипфейками — фальшивыми личностями коллег или руководителей. Почти все эти инциденты происходят в публичных мессенджерах, — рассказывает Андрей Лучицкий. — Но пользователи настолько привыкли к Telegram и WhatsApp, что сопротивляются переходу даже на более безопасные решения».

По его словам, главный вызов для разработчиков — убедить сотрудников реально использовать корпоративный мессенджер. «Даже если компания купит продукт, важно донести, зачем он нужен. И показать, что современные российские решения уже ничем не уступают западным — есть и каналы, и треды, и реакции, и видеозвонки».

Он добавил, что МТС Линк за год превратился из мессенджера в полноценную платформу коммуникаций — теперь можно не только переписываться, но и ставить задачи, звонить, работать совместно на онлайн-доске и получать саммари встречи от ИИ.

В УЦСБ отмечают, что корпоративный мессенджер сегодня — уже не просто чат, а элемент экосистемы унифицированных коммуникаций.

«Хорошие решения интегрируются с документооборотом, системами управления проектами и ИИ-инструментами», — пояснили в компании.

Однако главный барьер остаётся прежним — человеческий фактор. Пользователи воспринимают мессенджеры как «привычную оболочку» и не задумываются, что за ней стоит сложная система, обеспечивающая надёжность, масштабируемость и безопасность.

В УЦСБ подчёркивают: важно разделять личные, публичные и корпоративные мессенджеры. В последнем случае речь идёт не об удобстве, а о защите корпоративных данных и соблюдении регламентов.

Таким образом, технологически российские корпоративные мессенджеры уже вышли на уровень мировых аналогов. Но массовый переход с западных сервисов тормозят привычка и психологическая инерция. Чтобы процесс пошёл быстрее, бизнесу нужно не только покупать решения, но и работать с пользователями, показывая, что безопасность — это не ограничение, а инструмент устойчивости компании.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru