Фахівці компанії Lastline Labs виявили новий вектор розповсюдження трояна Loki через програми Microsoft Office. На перших етапах атаку практично неможливо виявити. Вона проводиться в обхід антивірусних рішень і зазвичай відхиляється як хибнопозитивна через використання в документах Office шкідливих скриплетів з посиланнями на зовнішні ресурси.

У поточному місяці до рук дослідників Lastline Labs потрапив шкідливий файл Excel, здатний завантажувати та виконувати шкідливе ПЗ. Аналіз файлу не виявив жодних макросів, shell-кодів або DDE. Файл мав низький рівень детектування на Virustotal, що означає або хибнопозитивний результат, або нову техніку атаки.

Як пояснили дослідники, для обходу виявлення антивірусними рішеннями зловмисники вбудовують URL-адресу в скриплети в документах Office. Після відкриття шкідливого файлу Excel жертві пропонується оновити зовнішні посилання робочої книги – функцію Office, що дозволяє посилатися на зовнішні ресурси, а не вбудовувати їх безпосередньо (такі файли зберігають невеликий розмір, і їх легше оновити). Однак зовнішні посилання можуть посилатися на шкідливі скриплети та завантажувати зловмисне програмне забезпечення.

Дослідники Lastline Labs виявили, що описаний вище метод використовується зловмисниками для зараження комп'ютерів трояном Loki, призначеним для викрадення облікових даних. Шкідливі файли потрапляють до жертв через фішингові листи. Під час атаки експлуатується вже виправлена ​​вразливість CVE-2017-0199 у Microsoft Office/WordPad, що дозволяє віддалено виконати код.

Скриплет – технологія, що дозволяє створювати COM-компоненти (моделі компонентного об'єкта) засобами простих використання мов сценаріїв. Скриплет з'явився 1997 року з появою Internet Explorer 4.0.