Ключевая проблема с этими атаками - чрезвычайная эффективность в обходе защитных средств, таких как антивирусы и сэндбоксы. Дело в том, что на первом этапе атаки злоумышленники рассылают специальный документ Word (.docx или .rtf), в котором нет никакого активного вредоносного содержимого - ни активного вредоносного кода, ни шелл-кода.
Для заражения компьютера жертвы злоумышленники используют определенные «архитектурные недочеты» форматов .docx и .rtf. В частности, в документах, которые присылаются потенциальным жертвам на первой стадии атаки, используются Framesets («Наборы фреймов» в русской локализации) - специальные HTML-тэги, содержащие элементы Frame, которые производят дополнительную загрузку внешних объектов. В результате, когда документ просматривается в режиме разрешенного редактирования, встроенный фрейм обращается к сокращенной ссылке TinyURL, которая задана в сопутствующем файле webSettings.xml.rels. Файлы .rels содержат информацию о том, как разные части документа Microsoft Office сочетаются друг с другом.
Ступеней много, уникальна - однаЕсли жертва открывает документ «первой стадии», Microsoft Word делает HTTP-запрос по заданной ссылке, скачивает внешний объект и встраивает его в документ. Ссылка ведет к контрольным серверам, физически расположенным во Франции и США, а внешним объектом является вредоносный RTF-файл, эксплуатирующий уязвимость CVE-2017-8570.
Вредоносная программа FormBook заражает ПК через документы Microsoft Word даже без использования макросов