Złośliwe załączniki w postaci plików Excel i PowerPoint są rozsyłane po całej Ukrainie i Polsce

Cisco Talos, amerykańska firma zajmująca się cyberbezpieczeństwem i będąca częścią Cisco, światowego lidera w branży sieciowej, niedawno odkryła kolejny sposób, w jaki grupy hakerskie powiązane z Rosją szkodzą i polskim, i ukraińskim internautom. Tym razem przestępcy posługują się plikami MS Office, które z reguły nie budzą podejrzeń.

Skomplikowane ataki na Ukraińców i Polaków

Początek omawianych ataków datowany jest na kwiecień 2022 roku. Hakerzy już wtedy posługiwali się plikami pakietu Microsoft Office – głównie Excel i PowerPoint. Pliki te rozsyłane są w wiadomościach phishingowych i udają oficjalne formularze oraz dokumenty przeznaczone przede wszystkim dla pracowników rządowych i wojskowych, którzy są głównym celem przestępców.

Chociaż oszustom chodzi przede wszystkim o to, by zaszkodzić celom w Ukrainie, to przedsiębiorstwo Cisco Talosodkryło również złośliwe pliki z treściami przeznaczonymi specjalnie dla Polaków. We wszystkich przypadkach teksty i grafiki zamieszczone w wiadomościach są profesjonalne i mają na celu przekonanie ofiar o swoim oficjalnym, rządowym pochodzeniu.

Cyberataki skierowane w polskie i ukraińskie przedsiębiorstwa oraz rządy są codziennością od dnia rozpoczęcia wojny za naszą wschodnią granicą. Część rosyjskiej ofensywy jest prowadzona w sieci i opiera się na sianiu dezinformacji oraz maksymalnym szkodzeniu osobom i organizacjom pomagającym stronie ukraińskiej, co w skrajnych przypadkach może skutkować chaosem, a nawet opóźnieniem dostaw zaopatrzenia.

Przy tak napiętej sytuacji politycznej eksperci cyberbezpieczeństwa zalecają podejmowanie wszelkich środków ostrożności:

• korzystanie z oprogramowania antywirusowego,
• używanie silnych i unikalnych haseł,
• uważne czytanie maili i wiadomości oraz doszukiwanie się oznak phishingu,
• programy do zmiany IP, które zwiększają prywatność internautów i utrudniają hakerom dojście do konkretnych osób,
• unikanie publicznych sieci Wi-Fi,
• uważne pobieranie plików, a najlepiej ograniczenie się do oficjalnych źródeł.

Jak działają ataki z użyciem plików Excel i PowerPoint?

Analizowane przez Cisco Talos fałszywe pliki Excel i PowerPoint wyglądają profesjonalnie, ale w rzeczywistości zawierają złośliwe makropolecenia w formacie VBA. Tak zwane makra są powszechnie wykorzystywane w pracy biurowej do automatyzacji niektórych zadań, dlatego nie budzą podejrzeń.

Podczas analizowania fali ataków wykrytej w lipcu 2023 roku zauważono między innymi, że wiele wiadomości rozsyłanych przez hakerów do celów w Ukrainie zawierało załączniki z arkuszami do złudzenia przypominającymi oficjalne formularze udostępniane przez ukraiński Skarb Państwa. Dokumenty także zawierały złośliwe makropolecenia, z których część – dla niepoznaki – wykonywała typowe dla siebie zadania, takie jak obliczenia czy zamienianie wartości liczbowych na ciągi znaków.

Pliki przygotowane dla Polaków przez hakerów również nie budzą podejrzeń na pierwszy rzut oka. Arkusze to między innymi niewinnie wyglądające formularze deklaracji podatkowej VAT wzbogacone o złośliwe makropolecenia.

Skrypty VBA dołączone do plików w postaci makr mają na celu zainicjowanie dość skomplikowanego, kilkuetapowego procesu, podczas którego na urządzeniu ofiary zostaje zainstalowane złośliwe oprogramowanie wykradające poufne dane albo umożliwiające zdalne przejęcie kontroli nad maszyną.

Proces infekowania obejmuje między innymi uruchomienie programu pobierającego plik graficzny, w którym to ukryty jest kolejny program pobierający właściwy malware. Cała procedura jest dość długa, a w jej trakcie uruchamiane jest kilka pośrednich plików i bibliotek. Ma to najprawdopodobniej na celu maksymalne utrudnienie wykrycia szkodliwego oprogramowania.

W przypadku tej fali ataków, specjaliści z ukraińskiego CERT-u podejrzewają hakerską grupę UNC1151 powiązaną wcześniej z działaniem na rzecz interesów rządu Białorusi.

Kiedy skończą się fale ataków?

Niestety, jak na razie nic nie wskazuje na to, by Ukraina mogła na powrót cieszyć się pokojem i wolnością, a co za tym idzie – ataki ze strony jej przeciwników politycznych również nie prędko ustąpią. Polska, jako kraj nie tylko sąsiadujący z Ukrainą, ale odgrywający ogromnie ważną rolę w udzielaniu jej pomocy humanitarnej i militarnej, jest i będzie na celowniku prorosyjskich grup hakerskich.

Co za tym idzie, Polacy – a w szczególności przedsiębiorstwa, bo to one są atakowane najczęściej – muszą uzbroić się w cierpliwość i środki zwiększające cyberbezpieczeństwo. Dziś nie ma miejsca na oszczędzanie czy to na oprogramowaniu, czy pracownikach kluczowych dla ochrony firm.

Materiał partnera