Vždycky se říkalo, že textový dokument nemůže obsahovat virus a je tudíž naprosto bezpečný. Textový soubor prostě nejde spustit, tudíž principiálně nemůže být spuštěn ani škodlivý kód.
Pak ale přišel Microsoft Word, s ním i makrojazyk a zavedenou poučku v roce 1995 totálně rozboural první makrovirus Concept. Od té chvíle stačilo textový dokument pouze otevřít, přičemž došlo k aktivace maker a tato se postarala o „zavirování“ dalších textových souborů, které uživatel v budoucnu otevíral a předával kolegům. Průšvih jako hrom. S postupem času podíl makrovirů v celosvětovém měřítku klesal, až se vlastně na jejich existenci téměr zapomnělo. S nástupem ransomware a metod sociálního inženýrství (oblbování uživatelů), ale došlo k evoluci ve využití maker. Makra se typicky vyskytují v podvodných e-mailech s dokumentem v příloze, jenž se vydává za nezaplacenou fakturu. Narozdíl od roku 1995 musí tentokrát uživatel něco málo varování odklikat, nicméně pokud se nechá oblbnout a tudíž vše odsouhlasí, makra se postarají o spuštění skutečné havěti, kterou si dotáhne ze serveru útočníka.
Pořád ta makra…
Člověk by si řekl, že když už může hrozbu představovat dokument Wordu, tedy soubory typicky s příponou DOCX či DOC, tak s jistotou bude bez problému soubor s příponou TXT či CSV. Tak minimálně v tom druhém případě to též neplatí 🙂
Například havět s názvem BazarBackdoor využívá vychytávku Microsoft Excelu nazvanou jako DDE – Dynamic Data Exchange, která umožňuje spustit příkaz, který je zapsán v příslušné buňce dokumentu Excelu (opět na bázi makrojazyku). Kdyby to bylo možné jen v rámci XLSX / XLS souborů, budiž, ale ono není problém takový příkaz zapsat i přímo do CSV souboru, tedy do nevinné textové tabulky, kde jsou hodnoty jednotlivých sloupců odděleny znakem čárky či středníku! Vykonání příkazu může pochopitelně stáhnout či spustit skutečnou havěť.
(Technická poznámka: Uživatel musí odsouhlasit dva dialogy, aby došlo ke spuštění příkazu, tedy spuštění „škodné“. Nicméně praxe ukazuje, že to není překážkou.)
Je to jenom jeden z mnoha dalších dokladů skutečnosti „každá sranda něco stojí“ aneb „nic není zadarmo“. Zde se za komfort (koncept pohodlného otvírání souborů podle přílohy přiřazeným programem) platí zvýšeným nebezpečím spuštění škodlivého SW. Lze-li něco zneužít, zneužito to bude.
Ten kdo bude importovat CSV z neznamych zdroju a klikat bez premysleni si ale asi nic jineho nezaslouzi.
Co ale chceš od průměrné sekretářky či někoho takového?
Sekretářka ví, že má bez ptaní otvírat maily od sef-zavinac-firma.cézet, tak to prostě bude dělat… a když jí přijde mail z adresy sef-zavinac-jsemspammer.firma.cz, divné jí to nebude – i kdyby si všimla, že adresa je „nějaká divná“, ptát se nebude, šéf by se rozčiloval, ona má přece nařízeno otvírat maily bez ptaní se, šéf má svý práce dost… a (bohužel) o tom to je 🙁
A proč má sekretářka povoleno pouštět makra, která mají právo sahat mimo dokument?