Новый способ проникновения на компьютер вируса Loki обнаружили эксперты из Lastline Labs. Троян использует для внедрения документы программ Microsoft Office. Выявить вирусную атаку на первом этапе практически невозможно, она осуществляется в обход традиционных вирусных защит и отклоняется как ложноположительная по причине использования в документах Microsoft Office скриплетов, ссылающихся на внешние ресурсы.
Специалисты Lastline Labs исследовали зараженный Excel-файл, который мог загружать вирусы с внешних источников. При исследовании файла не было обнаружено макросов, shell-кодов или DDE. Анализ через службу Virus Total дал низкий уровень обнаружения, что может означать либо ложноположительный результат, либо принципиально новый вид атаки.
В ходе анализа специалисты выяснили, что для обхода традиционных антивирусных программ хакеры применили встроенный URL в скриплеты Office-документов. Пользователь при открытии файла Excel получает уведомление о необходимости обновить внешние ссылки рабочей книги. Эта функция Office разрешает ссылаться на внешние ресурсы, не встраивая их в документ (предназначена данная функция для уменьшения объёма файла и упрощения обновления). Этим и воспользовались злоумышленники — внешние ссылки отсылают на вредоносные скриплеты и загружают хакерские программы.
В исследуемый Excel-документ хакеры внедрили троян Loki, в функции которого входит похищение учётных данных пользователя. Троян проникает на компьютер при помощи фишинговых писем. Атакующие используют исправленную уязвимость CVE-2017-0199 в Microsoft Office/WordPad, которая разрешает удаленно исполнять код.