Фахівці «Лабораторії Касперського» розповіли про те, що в процесі дослідження цільової атаки Freakyshelly, їм вдалося виявити цільову розсилку листів з цікавими вкладеними документами. Це були файли в форматі OLE2, які не містили макросів, експлойтів, або будь-якого іншого активного контенту. При детальному розгляді з'ясувалося, що всередині є кілька посилань на PHP-скрипти, розташовані на сторонніх ресурсах. При спробі відкрити ці файли в Microsoft Word виявилося, що додаток звертається по одній з цих посилань. В результаті звернення зловмисники отримували інформацію про встановлений на комп'ютері ПО.

Дослідники зацікавилися тим, що відбувається, так як було не зовсім ясно, навіщо подібне могло знадобитися зловмисникам. Але для успішної спрямованої атаки, необхідно спочатку провести розвідку - знайти виходи на передбачуваних жертв і зібрати детальну інформацію про них. Наприклад, дізнатися версію операційної системи і деяких додатків на комп'ютері жертви, щоб потім відправити мети відповідний експлоїт.

шкідливий документ

На перший погляд вивчені документи не містили ніякого активного контенту: VBA-макросів, вкладених Flash-об'єктів або PE-файлів. Але коли користувач відкриває документ, Word відсилає наступний GET-запит по одній з внутрішніх посилань. Дослідники взяли оригінальний документ, який використовується в атаці, і замінили підозрілі посилання на http: // evil- *, ось що вийшло:

Фахівці «Лабораторії» вирішили розібратися, чому Office переходить за вказаним URL і як можна такі посилання знаходити в документах. Так, в файлах було виявлено поле INCLUDEPICTURE з однією з підозрілих посилань. Проте, Word звертається не до вподоби.

Аналітики пишуть, що блок даних на зображенні вище - перший і єдиний шматок тексту в документі. Текст в документах формату Word знаходиться в потоці WordDocument в «сирому вигляді», без будь-якого форматування, за винятком так званих полів. Поля кажуть Word, що певна частина тексту повинна бути показана при відкритті документа спеціальним чином, наприклад, завдяки цьому видно активні посилання на інші сторінки документа, URL і так далі. Поле INCLUDEPICTURE повідомляє про те, що до певних символів в тексті прив'язана картинка.

Проблема полягала в тому, що опис поля INCLUDEPICTURE в документації MS фактично відсутня, там написано лише: 0x43 INCLUDEPICTURE Specified in [ECMA-376] part 4, section 2.16.5.33. По суті, в стандарті ECMA-376 описана лише частина INCLUDEPICTURE до байта-роздільник. Але там не сказано нічого про те, що можуть значити дані після нього і як їх інтерпретувати.

Вивчаючи, як саме зловмисники використовують поле INCLUDEPICTURE, фахівці виявили недокументовану особливість, яка присутня в Word для Windows, а також в Microsoft Office для iOS і Android. LibreOffice і OpenOffice її не підтримують: при відкритті документа в цих офісних пакетах, звернення до заслання не відбувається.

Як виявилося, посилання невідомих зловмисників ховалася в формі SHAPEFILE. Атакуючі використовували комбінацію з трьох прапорів, згідно з якими, до форми повинні додаватися додаткові дані, які представляють собою URL, за яким вже розташовано фактичний вміст форми. Також було знайдено прапор, який перешкоджає тому, щоб при відкритті документа це вміст збереглося в самому документі - do not save.

З докладним звітом фахівців можна ознайомитися тут .