Ciemna strona VBA czyli makro na usługach cyberprzestępców

13_INFO_05.jpg

Każdego dnia jesteśmy zasypywani dziesiątkami, a nawet setkami wiadomości e-mail. Wydaje nam się normalnym postępowaniem to, że w pierwszej kolejności zajmujemy się rzeczami ważnymi i pilnymi. Dlatego najczęściej otwieramy otrzymaną wiadomość i pobieżnie przeglądamy jej treść. Następnie klikamy w załączony plik, bo przecież w nim musi być cenna informacja, skoro ktoś nam go przesłał. Niestety, okazuje się, że Word lub Excel znów „przeszkadza” w pracy, blokując zawartość załącznika. Nie zastanawiając się ani sekundy, klikamy, co trzeba, aby zobaczyć, co tak naprawdę jest w pliku. Ku naszemu zaskoczeniu załącznik działa prawidłowo, bo przecież nic nie wyświetla. Problem w tym, że działa i właśnie staliśmy się kolejną ofiarą cyberataku, którego celem jest kradzież danych lub przejęcie kontroli nad naszym komputerem…

Fikcja? Absolutnie nie! Statystyki pokazują, że bez większego namysłu otwieramy jedną trzecią takich maili, narażając siebie na ogromne niebezpieczeństwo. Co więcej, hakerzy umiejętnie wykorzystują tę słabość. Tworzą ogromne kampanie phishingowe, których celem jest wyłudzenie konkretnych informacji lub nakłonienie potencjalnej ofiary do wykonania określonych działań. W takiej korespondencji przestępca podszywa się pod inną osobę lub instytucję, np. bank, ubezpieczyciela lub dostawcę. Często stosowanym wabikiem jest załączanie do wiadomości dokumentów stworzonych w pakiecie Microsoft Office zawierających złośliwe makro VBA.

Czym jest makro VBA?

Makro to niewielki program umieszczony w pliku stworzonym w takich programach jak Excel lub Word, którego zadaniem jest wykonanie określonego zestawu czynności. Jego zastosowanie w codziennej pracy pozwala zwiększyć wydajność oraz zaoszczędzić sporo czasu, zwłaszcza tam, gdzie mamy do czynienia z powtarzającymi się działaniami.

Dla przykładu zamiast tracić cenne godziny na pobranie danych z systemów ERP, ich oczyszczenie, uporządkowanie i skonsolidowanie, a następnie wygenerowanie raportu według z góry określonego szablonu, wszystkie te zadania makro może wykonać samodzielnie. Końcowy efekt będzie taki sam jak w przypadku pracy użytkownika, ale zostanie zrealizowany w krótszym czasie. Jest to zdecydowana zaleta automatyzacji procesów.

Makra tworzone są w języku VBA (Visual Basic for Applications), który został opracowany na potrzeby pakietu Microsoft Office. Prostota języka oraz łatwość tworzenia sprawiają, że na dobrą sprawę każdy użytkownik Office’a może samodzielnie nagrywać lub pisać makra.

Warto pamiętać, że firma Microsoft, wdrażając obsługę języka VBA, pozwoliła, aby makra były uruchamiane automatycznie bez potrzeby pytania użytkownika o jego zgodę. Z jednej strony krok ten miał przyczynić się do usprawnienia pracy, z drugiej strony został sprytnie wykorzystany przez hakerów, którzy rozpoczęli na masową skalę ataki z użyciem złośliwych makr umieszczonych w załącznikach do wiadomości e-mail.

Co prawda błąd ten został częściowo naprawiony, ponieważ pakiet Microsoft Office, począwszy od wersji 2007, blokuje uruchomienie każdego makra, wymuszając na użytkowniku podjęcie stosownej decyzji. Niestety, nie stanowi to stuprocentowej ochrony przed atakami, ponieważ cyberprzestępcy wykorzystują w swoich działaniach różnego rodzaju triki socjotechniczne, aby zmylić ofiarę i wymusić na niej uruchomienie złośliwego makra umieszczonego w przesłanym pliku.

Jak przebiega atak z użyciem makr VBA?

Powodzenie kampanii phishingowej lub spear phishingowej (jej celem jest konkretna osoba) opiera się na dwóch głównych elementach – socjotechnice oraz przygotowaniu wiadomości e-mail w taki sposób, aby wyglądała na oryginalną. Bardzo często przybiera ona formę fałszywych powiadomień z banku, komunikatów od operatora telefonii komórkowej lub firmy kurierskiej czy korespondencji od dostawcy współpracującego z naszą firmą.

Celem takiego ataku jest zainstalowanie na komputerze ofiary złośliwego oprogramowania, które dla przykładu może podmieniać numery kont bankowych w zleceniach przelewu lub wykradać dane uwierzytelniające do skrzynek pocztowych, kont bankowości online, mediów społecznościowych i innych serwisów. Oszuści mogą również zablokować dostęp do danych na komputerze zaatakowanego użytkownika w celu wymuszenia okupu.

Zanim to jednak nastąpi, cyberprzestępcy przygotowują wiadomość e-mail, która ma nakłonić ofiarę do wykonania konkretnej akcji. Niejednokrotnie w takich przypadkach hakerzy podszywają się pod istniejące instytucje. W ten sposób wykorzystują zaufanie odbiorcy wiadomości do znanej powszechnie firmy i jego zaniepokojenie wynikające np. z konieczności uregulowania opłaty.

Chcąc zmylić czujność ofiary, przestępcy rejestrują domeny internetowe łudząco podobne do tych, które wykorzystuje rzeczywisty podmiot gospodarczy. W tym celu stosują różne zabiegi związane z podmianą liter, zmianą ich kolejności czy umieszczeniem dodatkowych liter. W takim przypadku łatwo jest oszukać ludzkie oko, zwłaszcza jeśli większość z nas, czytając maile, zupełnie nie zwraca uwagi na adres nadawcy wiadomości.

Dla przykładu hakerzy mogą wysłać komunikat, podszywając się pod jednego z pracowników banku i wykorzystując w tym celu fikcyjny adres i domenę piotr.nowak@bankmilllenium.pl. W rzeczywistości instytucja ta korzysta z domeny bankmillennium.pl. Jak widać, rejestrując domenę, w jej nazwie umieszczono dodatkowo literę „l”.

Podobnie rzecz ma się w przypadku zamiany liter. Hakerzy chcący wysyłać fałszywą komunikację w imieniu np. Wydawnictwa Explanator mogliby zarejestrować łudząco podobną domenę, w której nazwie zamieniliby literę „a” na „e”. W takim przypadku mogliby posłużyć się adresem jan.kowalski@explenator.pl, a prawdziwa komunikacja wychodzi z domeny explanator.pl.

Kolejnym elementem jest przygotowanie tytułu wiadomości, który ma nadać jej ważność i zwrócić uwagę odbiorcy. Niejednokrotnie w temacie stosowane są zwroty typu: faktura, nieopłacona faktura, wezwanie do zapłaty, ważny komunikat, zmiana regulaminu, niedostarczona przesyłka itp. W przypadku komunikacji w języku angielskim najczęściej pojawiają się słowa: transfer, invoice, request, urgent i payment.

Dostęp możliwy dla zalogowanych użytkowników serwisu. Jeśli posiadasz aktywną prenumeratę przejdź do LOGOWANIA. Jeśli nie jesteś jeszcze naszym Czytelnikiem wybierz najkorzystniejszy WARIANT PRENUMERATY.

Zaloguj Zamów prenumeratę
Drukuj

Zobacz również

Archiwum

Polecamy