Стало известно, что новые функции электронных таблиц Excel, представленные на конференции Build в этом году, позволяют внедрить в программу код JavaScript, который использует ресурсы компьютера пользователя для майнинга криптовалюты — разумеется, в тайне от самого пользователя.

Об этом написал в своем Twitter эксперт по безопасности Чарльз Дардаман. Он включил в Excel код JavaScript, который использует ресурсы компьютера пользователя для майнинга криптовалюты. При этом были использованы новые функции офисного пакета, представленные Microsoft на конференции Build в этом году.

Новые функции MS Office дают «зеленый свет» хакерам
Чарльз Дардаман включил в Excel код JavaScript, который использует ресурсы компьютера пользователя для майнинга криптовалюты

Пока этот функционал доступен только в программе MS Insider, но в будущем они, вероятно, появятся и в полной версии офисного пакета.

Чтобы создать вредоносную программу, Дардаман использовал инструкции, размещенные на страницах Microsoft, а также исходный код, опубликованный в аккаунте Microsoft на GitHub. В завершении процесса эксперт вставил в ячейку Excel вызов JavaScript, необходимый для майнинга Monero. Некоторые сайты, использующие вычислительную мощность компьютеров своих посетителей без их ведома, работают аналогичным образом.

Важно отметить, что сценарий запускается каждый раз, когда кто-то открывает подготовленный документ Excel, причем пользователю не сообщается об этом. Конечно, встраивание JavaScript в Excel служит для облегчения работы. Как и в случае с макросами Visual Basic, JavaScript можно применять для создания расширенных электронных таблиц, которые напоминают простые приложения. Однако на практике макросы — это дыра, которую хакеры используют для заражения компьютеров вредоносным кодом. После ввода дополнительной поддержки языка скриптинга это будет еще проще.

Новые функции MS Office дают «зеленый свет» хакерам
Excel будет поддерживать код JavaScript (график Microsoft)

Excel будет поддерживать код JavaScript (график Microsoft)

Но этого разработчикам Microsoft показалось мало. На конференции Build была презентована возможность осуществления платежей непосредственно через Outlook. Однако выясняется, что одна сама электронная почта Microsoft не предоставляет такие услуги, но лишь позволяет внешним платежным сервисам подключать свой модуль. Несомненно, мошенники смогут использовать этот механизм для вымогательства денег у пользователей.

Примем, однако, во внимание, что спорные функции в настоящее время доступны только в пробной версии для ограниченного числа пользователей. Вполне возможно, они вообще не появятся в окончательной версии офисного пакета Microsoft.

Фото: pixabay.com, Microsoft

Читайте также: