Μια νέα τεχνική για να μολύνουν τους χρήστες με κακόβουλο λογισμικό ανακάλυψαν οι μηχανικοί ασφάλειας πρόσφατα. Ενώ η επίθεση αυτή βασίζεται στο να έχουν οι χρήστες ανοιχτά έγγραφα του Word, δεν απαιτείτε η χρήση και εκτέλεση μακροεντολών για να περάσει το malware στον υπολογιστή τους.
Οι ερευνητές της Trustwave Spiderlabs λένε ότι οι απατεώνες χρησιμοποιούν αυτήν την τεχνική πολλαπλών φάσεων, χωρίς μακροεντολές, για να μολύνουν τους χρήστες με ένα πρόγραμμα υποκλοπής κωδικών πρόσβασης. Επί του παρόντος, τα στοιχεία δείχνουν ότι μόνο μία ομάδα χρησιμοποιεί αυτήν την μέθοδο, αλλά δεν θα αργήσει να υιοθετηθεί και από άλλες.
Ο τρόπος λειτουργίας του malware περιγράφεται παρακάτω και βασίζεται σε μεγάλο αριθμό πόρων (DOCX, RTF, HTA, VBScript και PowerShell)..
- Το θύμα λαμβάνει ένα email ανεπιθύμητης αλληλογραφίας με συνημμένο αρχείο DOCX.
- Ο χρήστης κατεβάζει και ανοίγει το αρχείο DOCX.
- Το αρχείο DOCX περιέχει την τεχνολογία OLE(Object Linking And Embedding).
- Το OLE μεταφορτώνει και ανοίγει ένα αρχείο RTF (μεταμφιεσμένο ως DOC).
- Το αρχείο DOC χρησιμοποιεί την ευπάθεια CVE-2017-11882 .
- Ο κακόβουλος κώδικα εκτελεί μια γραμμή εντολών MSHTA.
- Η γραμμή εντολών MSHTA κατεβάζει και εκτελεί ένα αρχείο HTA.
- Το αρχείο HTA περιέχει ένα VBScript που αποσυμπιέζει ένα PowerShell script.
- Το PowerShell κατεβάζει και εγκαθιστά τον λογισμικό υποκλοπής κωδικών πρόσβασης.
- Το κακόβουλο λογισμικό κλέβει τους κωδικούς πρόσβασης από προγράμματα περιήγησης, ηλεκτρονικού ταχυδρομείου και FTP client.
- Το κακόβουλο λογισμικό μεταφορτώνει τα δεδομένα σε έναν απομακρυσμένο server.
Ο μόνος τρόπος για να παραμείνει κάποιος ασφαλείς είναι αν με κάποιο τρόπο σταματήσει μια από της παραπάνω φάσης του malware. Σε οποιαδήποτε περίπτωση ο ευκολότερος τρόπος είναι να ενημερώνετε τα Windows και το Office (Word,Excel κλπ).
Το security patch Ιανουαρίου 2018 διορθώνει την ευπάθεια αυτή και συνιστάται να εγκατασταθεί από όλους τους χρήστες.
