В 2025 году файлы Microsoft Office продолжают быть основным способом доставки вредоносного кода, несмотря на то, что технология считается устаревшей. Хакеры используют знакомые форматы Word и Excel для организации фишинговых атак и эксплойтов без необходимости дополнительного взаимодействия со жертвой. Распространение документов, замаскированных под внутреннюю корпоративную переписку, создаёт иллюзию безопасности.
Фишинговые атаки через MS Office остаются фаворитом злоумышленников, поскольку документы передаются в деловой среде каждый день. Файлы, замаскированные под счета, отчёты или предложения по работе, содержат встроенные ссылки, которые перенаправляют пользователей на поддельные страницы входа в Microsoft 365 или порталы для кражи учетных данных. Один анализ в продемонстрировал, как Excel-документ с малозаметной фишинговой ссылкой перенаправлял жертву через страницу проверки от Cloudflare, завершаясь поддельной страницей Microsoft с неподлинными доменными именами.
Эксплойт CVE-2017-11882, нацеленный на Microsoft Equation Editor, является живым примером проблемы. Несмотря на то, что уязвимость была обнаружена в 2017 году и исправлена, многочисленные системы до сих пор остаются не обновлёнными. Открытие заражённого Word-файла автоматически активирует загрузку и выполнение вредоносного кода без необходимости включения макросов. В одном случае анализ выявил передачу полезной нагрузки Agent Tesla, предназначенной для кражи логинов, паролей и данных буфера обмена, а соответствующая информация отражена в MITRE ATT&CK.
Эксплойт Follina (CVE-2022-30190) продолжает оставаться эффективным, так как не требует активации макросов; достаточно просто открыть файл. Он злоупотребляет инструментом диагностики Microsoft Support Diagnostic Tool (MSDT) и внедряет в документ специально подготовленные URL, что приводит к удалённому выполнению кода. Дополнительная сложность атаки заключается в использовании стеганографии («stegocampaign») – методе сокрытия вредоносного загрузчика внутри изображения, которое обрабатывается PowerShell для извлечения основной нагрузки.
Файлы MS Office, используемые в корпоративной среде, представляют собой серьезную угрозу. Рекомендуется тщательно контролировать обмен документами, ограничивать загрузку файлов из внешних источников, а также применять способы изолированного анализа подозрительных данных с помощью инструментов вроде . Важную роль играет регулярное обновление всех компонентов Office и отключение устаревших функций, таких как макросы или Equation Editor, для исключения альтернативных путей для атаки.
Анализ вредоносных программ расширяется и на мобильные устройства, где злоумышленники используют поддельные приложения, фишинговые ссылки и заразные APK-файлы. Новая поддержка Android в позволяет исследовать поведение мобильного ПО в реальной операционной среде до его появления на рабочих устройствах. Это повышает скорость реагирования на угрозы и обеспечивает перекрестную защиту для десктопных и мобильных систем.
Использование проверенных инструментов играет ключевую роль в обнаружении и предотвращении атак. неоднократно доказал свою эффективность при обнаружении поддельных URL, стеганографических методов и прочих уловок, включая переходы через проверку Cloudflare. Кроме того, анализ с помощью MITRE ATT&CK помогает сопоставить техники злоумышленников и быстро реагировать на новые векторы атак.
Систематический подход к реализации мер безопасности и постоянное обновление программного обеспечения являются критически важными в условиях активного использования эксплойтов, нацеленных на привычные форматы MS Office. Такой подход позволяет не только своевременно выявлять угрозы, но и минимизировать возможный ущерб от кражи данных и других вредоносных действий.
Изображение носит иллюстративный характер
Фишинговые атаки через MS Office остаются фаворитом злоумышленников, поскольку документы передаются в деловой среде каждый день. Файлы, замаскированные под счета, отчёты или предложения по работе, содержат встроенные ссылки, которые перенаправляют пользователей на поддельные страницы входа в Microsoft 365 или порталы для кражи учетных данных. Один анализ в продемонстрировал, как Excel-документ с малозаметной фишинговой ссылкой перенаправлял жертву через страницу проверки от Cloudflare, завершаясь поддельной страницей Microsoft с неподлинными доменными именами.
Эксплойт CVE-2017-11882, нацеленный на Microsoft Equation Editor, является живым примером проблемы. Несмотря на то, что уязвимость была обнаружена в 2017 году и исправлена, многочисленные системы до сих пор остаются не обновлёнными. Открытие заражённого Word-файла автоматически активирует загрузку и выполнение вредоносного кода без необходимости включения макросов. В одном случае анализ выявил передачу полезной нагрузки Agent Tesla, предназначенной для кражи логинов, паролей и данных буфера обмена, а соответствующая информация отражена в MITRE ATT&CK.
Эксплойт Follina (CVE-2022-30190) продолжает оставаться эффективным, так как не требует активации макросов; достаточно просто открыть файл. Он злоупотребляет инструментом диагностики Microsoft Support Diagnostic Tool (MSDT) и внедряет в документ специально подготовленные URL, что приводит к удалённому выполнению кода. Дополнительная сложность атаки заключается в использовании стеганографии («stegocampaign») – методе сокрытия вредоносного загрузчика внутри изображения, которое обрабатывается PowerShell для извлечения основной нагрузки.
Файлы MS Office, используемые в корпоративной среде, представляют собой серьезную угрозу. Рекомендуется тщательно контролировать обмен документами, ограничивать загрузку файлов из внешних источников, а также применять способы изолированного анализа подозрительных данных с помощью инструментов вроде . Важную роль играет регулярное обновление всех компонентов Office и отключение устаревших функций, таких как макросы или Equation Editor, для исключения альтернативных путей для атаки.
Анализ вредоносных программ расширяется и на мобильные устройства, где злоумышленники используют поддельные приложения, фишинговые ссылки и заразные APK-файлы. Новая поддержка Android в позволяет исследовать поведение мобильного ПО в реальной операционной среде до его появления на рабочих устройствах. Это повышает скорость реагирования на угрозы и обеспечивает перекрестную защиту для десктопных и мобильных систем.
Использование проверенных инструментов играет ключевую роль в обнаружении и предотвращении атак. неоднократно доказал свою эффективность при обнаружении поддельных URL, стеганографических методов и прочих уловок, включая переходы через проверку Cloudflare. Кроме того, анализ с помощью MITRE ATT&CK помогает сопоставить техники злоумышленников и быстро реагировать на новые векторы атак.
Систематический подход к реализации мер безопасности и постоянное обновление программного обеспечения являются критически важными в условиях активного использования эксплойтов, нацеленных на привычные форматы MS Office. Такой подход позволяет не только своевременно выявлять угрозы, но и минимизировать возможный ущерб от кражи данных и других вредоносных действий.
