Το Windows Troubleshooting Platform (WTP) εντάχθηκε στη λίστα με τις νόμιμες Windows υπηρεσίες που «κακοποιήθηκαν» ώστε να εγκαθιστούν κακόβουλο λογισμικού στους υπολογιστές των χρηστών.
Σύμφωνα με τους Proofpoint ερευνητές, αυτό το τελευταίο τέχνασμα που χρησιμοποιήθηκε στο εσωτερικό των Word εγγράφων εξαπλώθηκε μέσω μιας πρόσφατης spam εκστρατείας.
Όταν οι χρήστες θα άνοιγαν αυτό το Word έγγραφο, θα τους υποδέχονταν ένα συνονθύλευμα τυχαίων χαρακτήρων και μια προειδοποίηση στην αρχή του εγγράφου. Αυτή η προειδοποίηση είχε ως εξής: “Document has incorrect encoding: ‘UTF-8’ Double click to auto detect charset.“
Η προειδοποίηση δεν ήταν τίποτα παραπάνω από ένα OLE αντικείμενο, ένα διαδραστικό στοιχείο που μπορεί να ενσωματωθεί οπουδήποτε μέσα σε ένα Office έγγραφο.
Οι Proofpoint ερευνητές λένε ότι κάνοντας διπλό κλικ αυτή την ειδοποίηση θα ξεκινούσε η εκτέλεση ενός DIAGCAB αρχείου.
Το DIAGCAB είναι μια μορφή αρχείου που συνδέεται με το Windows Troubleshooting Platform, ένα Microsoft σύστημα που δημιουργήθηκε για να επιτρέψει στους προμηθευτές λογισμικού και τους OEMs (Original Equipment Manufacturers) να αυτοματοποιήσουν την εκτέλεση των διαφόρων troubleshooting και auto-repair εργασιών.
Όλοι οι χρήστες έχουν δει και έχουν κάνει κλικ στα troubleshooting παράθυρα όταν είχαν προβλήματα με τη σύνδεση στο Internet και επέλεγαν την «Troubleshoot connection» επιλογή. Μερικές φορές αυτή η διαδικασία επισκευάζει τις ρυθμίσεις δικτύου τους, έτσι οι περισσότεροι χρήστες είναι συνηθισμένοι να κάνουν κλικ στο “Επόμενο” όταν βλέπουν troubleshooting παράθυρα.
Στην περίπτωση αυτής της πρόσφατης spam εκστρατείας, κάνοντας διπλό κλικ στην προειδοποίηση για τον εντοπισμό του συνόλου χαρακτήρων του εγγράφου γίνεται εκκίνηση του troubleshooting παραθύρου, που δεν είναι τίποτε παραπάνω από ένα DIAGCAB αρχείο. Αυτό το αρχείο περιέχει μια σειρά από αυτοματοποιημένα PowerShell scripts, τα οποία σύμφωνα με την Proofpoint κατεβάζουν και εγκαθιστούν το LatentBot backdoor trojan.
Από τεχνική άποψη, δεν υπάρχει διαφορά μεταξύ των macro scripts και των εν λόγω troubleshooting scripts, αφού και τα δύο να επιτρέπουν σε έναν εισβολέα να εκτελέσει μια σειρά από αυτοματοποιημένες διαδικασίες στον υπολογιστή του θύματος.
Η διαφορά είναι ότι το λογισμικό ασφαλείας που είναι εγκατεστημένο στον υπολογιστή του χρήστη είναι προγραμματισμένο να παρακολουθήσει το κακόβουλο λογισμικό που μπορεί να εγκατασταθεί μέσω των Office macro scripts, ενώ τα troubleshooting πακέτα αγνοούνται εντελώς.
Εκτός από το Windows Troubleshooting Platform (WTP), κατά το παρελθόν, malware συγγραφείς έχουν κακομεταχειριστεί και άλλες Windows υπηρεσίες και χαρακτηριστικά, όπως τα Windows Management Instrumentation (WMI), Office Interoperability, Background Intelligent Transfer Service και το Task Scheduler.
Ευτυχώς, αυτό το νέο κόλπο απαιτεί την αλληλεπίδραση του χρήστη, όπως ακριβώς και τα macro scripts, έτσι οι χρήστες που πέρασαν από εκπαίδευση σε θέματα ασφάλειας είναι πολύ πιθανό να εντοπίσουν αυτό το πονηρό προειδοποιητικό μήνυμα και να καλέσουν τον διαχειριστή του συστήματός τους για περαιτέρω έρευνα.
