Stručnjaci iz kompanije Kaspersky Lab otkrili su jednu karakteristiku u MS office Word-u, koji su sajber kriminalci zloupotrebljavali kako bi uspešno sprovodili ciljane napade. Koristeći malicioznu aplikaciju koja bi bila aktivirana svaki put kada bi bio otvoren word dokument, informacije o softveru instaliranom na žrtvinom računaru bi odmah bile prosleđene napadačima, bez ikakve interakcije korisnika. Ove informacije su omogućavale napadačima da saznaju koje vrste ranjivosti treba da iskoriste ako žele da hakuju korisnikov uređaj.
Za aktivaciju nije neophodno da dokument bude oktvoren, a maliciozni program funkcioniše bez obzira na tu činjenicu, i na desktop računarima i na mobilnim verzijama softvera za obradu teksta. Stručnjaci iz kompanije Kaspersky Lab posmatrali su ovakav metod kreiranja profila žrtava, koji su nazvali „FreakyShelly“. Kompanija je prijavila ovaj problem proizvođaču softvera, ali on još uvek nije u potpunosti ažuriran.
Pre određenog vremena, prilikom istraživanja „FreakyShelly“ ciljanih napada, stručnjaci iz kompanije Kaspersky Lab detektovali su masovne „fišing“ i-mejlove sa OLE2 formatom dokumenata (oni koriste tehnologiju povezivanja predmeta koja pomaže aplikacijama da kreiraju složene dokumente koji sadrže informacije sa različitih izvora, uključujući i internet). Jednostavna provera fajla nije izazvala sumnju, budući da je fajl sadržao savete kako na najbolji način iskoristiti Google pretraživač i nije sadržao poznate exploit ili maliciozne programe. Međutim, dubljom analizom ponašanja dokumenta ustanovljeno je da, nakon njegovog otvaranja, dokument šalje određene GET zahteve ka eksternoj veb stranici. GET zahtev je sadržao informacije o pretraživaču koji je korišćen na uređaju, verziji operativnog sistema, kao i informacije o određenim softverskim rešenjima instaliranim na napadnutom uređaju. Problem je bio u tome što veb stranica ne predstavlja nešto ka čemu bi aplikacija trebalo da šalje bilo kakve zahteve.
Daljim istraživanjem kompanije Kaspersky Lab ustanovljeno je da ovakva vrsta napada funkcioniše zbog načina na koji se tehničke informacije o elementima dokumenata procesuiraju i skladište unutar njega. Svaki digitalni dokument sadrži specifične meta podatke o svom stilu, lokaciji teksta i izvoru, odakle bi trebalo preuzeti fotografije za dokumenta (ako ih ima), kao i drugi parametri. Nakon otvaranja, office aplikacija bi očitala te parametre i zatim kreirala dokument koristeći ih kao „mapu“. Na osnovu istraživanja stručnjaka iz kompanije Kaspersky Lab, parametar koji je odgovoran za ukazivanje na lokaciju fotografija korišćenih u dokumentu mogu promeniti napadači preko sofisticiranog koda, i na taj način „naterati“ dokument da pošalje informacije ka malicioznoj veb stranici u vlasništvu sajber kriminalaca.
„Iako ova karateristika ne omogućava kriminalcima da sprovedu malver napade, veoma je opasna zato što može da služi kao efikasna podrška za maliciozne aktivnosti, jer ne zahteva interakciju korisnika i ima mogućnost da dopre do velikog broja korisnika širom sveta, budući da je ranjivi softver veoma popularan. Za sada smo samo u jednoj situaciji videli da je ova karakteristika iskorišćena. Međutim, uzimajući u obzir činjenicu da je detekcija veoma komplikovana, sajber kriminalci će je u budućnosti sigurno eksploatisati u znatno većoj meri”, izjavio je Aleksandar Liskin (Alexander Liskin), menadžer u sektoru za heurističku detekciju u kompaniji Kaspersky Lab.
Kaspersky Lab proizvodi uspešno detektuju i blokiraju napade sprovedene pomoću ove tehnike.
Kako ne bi postali žrtva ovakvih napada, stručnjaci iz kompanije Kaspersky Lab savetuju korisnicima sledeće:
- Izbegavajte otvaranje i-mejl poruka poslatih sa nepoznatih adresa, kao i priloga iz takvih poruka;
- Koristite proverena i pouzdana bezbednosna rešenja koja mogu detektovati ovakve napade, kao što su rešenja kompanije Kaspersky Lab.
Celokupno istraživanje možete pronaći na stranici Securelist.com, gde su takođe date i preciznije tehničke informacije u vezi sa ovakvom vrstom napada.
Leave A Comment