Phát hiện mã độc cài qua file Word qua mặt được cả Antivirus

0

Các thủ đoạn lừa đảo, tấn công mạng ngày càng tinh vi, xảo quyệt khiến người dùng dễ dàng “sập bẫy”. Những kẻ tấn công dựa vào tính năng Trao đổi Dữ liệu Động (DDE) trên các File Microsoft Office để đưa mã độc vào máy tính mà không có kiến ​​thức về các chương trình chống vi-rút.

Mã độc

Nhóm hacker cấp cao này có tên Gấu yêu, đang làm sống lại một kỹ thuật tấn công đã được biết đến từ lâu nhưng vẫn còn xa lạ với nhiều người, sử dụng các File tài liệu Microsoft Office. Nhờ kỹ thuật này, những kẻ tấn công có thể lây nhiễm vào máy tính mà không bị chương trình diệt virus phát hiện.

Mới đây, nhóm hacker Fancy Bear này bị phát hiện khi đang gửi file Word, khai thác tính năng có tên Trao đổi dữ liệu động (DDE). DDE cho phép một File thực thi được lưu trữ trong một File khác và cho phép các ứng dụng gửi các bản cập nhật dữ liệu mới.

Trong một bài đăng trên blog vào thứ Ba, các nhà nghiên cứu tại Trend Micro tuyên bố rằng Fance Bear đã gửi một File văn bản có tên IsisAttackInNewYork.docx Tính năng DDE này đã được khai thác. Khi người nhận mở File văn bản này, File sẽ kết nối với máy chủ điều khiển để tải xuống phần mềm độc hại đầu tiên được đặt tên. Seduploader và cài đặt nó trên máy tính của nạn nhân.

Thực tế là tính năng DDE có thể bị khai thác như một kỹ thuật tiêm mã độc đã được biết đến trong nhiều năm, nhưng một bài đăng của công ty bảo mật SensePost vào cuối tháng trước đã làm hồi sinh sự quan tâm đến nó. Bài đăng cho thấy rằng tính năng DDE có khả năng bị lạm dụng để cài đặt phần mềm độc hại bằng các File Word mà các chương trình chống vi-rút không phát hiện ra.

Một ngày sau khi Trend Micro công bố báo cáo về Fancy Bear, Microsoft đã đưa ra khuyến nghị về cách người dùng Office có thể tự bảo vệ mình khỏi các cuộc tấn công. Cách đơn giản nhất để giữ an toàn là đề phòng mọi thông báo lạ xuất hiện mỗi khi bạn mở File văn bản.

Theo cảnh báo từ SensePost, trước khi kích hoạt tính năng DDE, người dùng sẽ thấy hộp thoại như sau khi mở File văn bản bị nhiễm virus:

Hộp thoại xuất hiện khi mở File văn bản bị nhiễm

Nếu nạn nhân nhấp vào ĐÚNGHọ sẽ thấy một lời nhắc giống như sau:

Nhắc nhở
Phần mềm độc hại sẽ chỉ thực thi sau khi người dùng nhấp vào nó ĐÚNG trên cả hai cảnh báo.

Khuyến nghị của Microsoft cũng giải thích cho những người dùng hiểu biết về kỹ thuật hơn, để họ có thể thay đổi cài đặt trong sổ đăng ký để vô hiệu hóa chức năng DDE, tự động cập nhật dữ liệu từ File này sang File khác. .

Vô hiệu hóa

Fancy Bear không phải là nhóm đầu tiên tích cực khai thác tính năng DDE này cho các mục đích xấu. Vài tuần sau bài đăng của họ trên SensePost, các nhà nghiên cứu phát hiện ra rằng những kẻ tấn công khác đang lạm dụng tính năng này để cài đặt ransomware.

Nhiều nhà nghiên cứu đã nhấn mạnh tính năng DDE này vì nó cho phép các cuộc tấn công lây lan phần mềm độc hại thông qua các File văn bản Office mà không cần kích hoạt macro. Mặc dù những nguy cơ của việc kích hoạt macro trong File văn bản đã được biết rõ, nhưng DDE thì không, điều này khiến chúng thực hiện các cuộc tấn công hiệu quả hơn. Nhưng cuối cùng thì cơ chế tấn công dựa trên DDE cũng có chữ ký riêng và mọi người đều có thể tránh được.

Leave A Reply

Your email address will not be published.