VIRY.CZ

Syndikovat obsah
Když se havěť stává obětí
Aktualizace: 2 min 5 sek zpět

I textový soubor CSV může představovat hrozbu!

8 Březen, 2022 - 11:00

Vždycky se říkalo, že textový dokument nemůže obsahovat virus a je tudíž naprosto bezpečný. Textový soubor prostě nejde spustit, tudíž principiálně nemůže být spuštěn ani škodlivý kód.

Pak ale přišel Microsoft Word, s ním i makrojazyk a zavedenou poučku v roce 1995 totálně rozboural první makrovirus Concept. Od té chvíle stačilo textový dokument pouze otevřít, přičemž došlo k aktivace maker a tato se postarala o “zavirování” dalších textových souborů, které uživatel v budoucnu otevíral a předával kolegům. Průšvih jako hrom. S postupem času podíl makrovirů v celosvětovém měřítku klesal, až se vlastně na jejich existenci téměr zapomnělo. S nástupem ransomware a metod sociálního inženýrství (oblbování uživatelů), ale došlo k evoluci ve využití maker. Makra se typicky vyskytují v podvodných e-mailech s dokumentem v příloze, jenž se vydává za nezaplacenou fakturu. Narozdíl od roku 1995 musí tentokrát uživatel něco málo varování odklikat, nicméně pokud se nechá oblbnout a tudíž vše odsouhlasí, makra se postarají o spuštění skutečné havěti, kterou si dotáhne ze serveru útočníka.

Pořád ta makra…

Člověk by si řekl, že když už může hrozbu představovat dokument Wordu, tedy soubory typicky s příponou DOCX či DOC, tak s jistotou bude bez problému soubor s příponou TXT či CSV. Tak minimálně v tom druhém případě to též neplatí

CSV je prostý textový soubor, který se v Excelu zobrazí jako tabulka. Znaky jako “;” či “,” jsou oddělovačem, podle kterých Excel hodnoty vhodně rozdělí do sloupců.

Například havět s názvem BazarBackdoor využívá vychytávku Microsoft Excelu nazvanou jako DDE – Dynamic Data Exchange, která umožňuje spustit příkaz, který je zapsán v příslušné buňce dokumentu Excelu (opět na bázi makrojazyku). Kdyby to bylo možné jen v rámci XLSX / XLS souborů, budiž, ale ono není problém takový příkaz zapsat i přímo do CSV souboru, tedy do nevinné textové tabulky, kde jsou hodnoty jednotlivých sloupců odděleny znakem čárky či středníku! Vykonání příkazu může pochopitelně stáhnout či spustit skutečnou havěť.

(Technická poznámka: Uživatel musí odsouhlasit dva dialogy, aby došlo ke spuštění příkazu, tedy spuštění “škodné”. Nicméně praxe ukazuje, že to není překážkou.)

Zdroj: https://www.bleepingcomputer.com/news/security/malicious-csv-text-files-used-to-install-bazarbackdoor-malware/

The post I textový soubor CSV může představovat hrozbu! appeared first on VIRY.CZ.

Kategorie: Viry a Červi