Se näyttää Wordilta: Kuinka he hakkeroivat sinut yksinkertaisella asiakirjalla

Kuinka he hakkeroivat sinut yksinkertaisella asiakirjalla

Hakkerit etsivät jatkuvasti uusia tapoja huijata käyttäjiä suorittamaan hakkerointihyökkäyksiä. Ja tätä varten he yleensä turvautuvat erittäin suosittuihin, laajalle levinneisiin ja käytettyihin tiedostomuotoihin, joilla he voivat hyökätä mahdollisimman monen käyttäjien kimppuun. Tällä tavalla, HP Wolf Turvallisuus tutkijat ovat juuri havainneet uuden haittaohjelmien jakelukampanjan hyödyntää .ODT-muotoa levittää haittaohjelmia havaitsemattomalla tavalla.

Hakkerit käyttävät usein muita tiedostomuotoja hyökkäysten suorittamiseen. Esimerkiksi yleisimmät ovat PDF tai .BAT- tai .EXE-suoritettavat tiedostot. Tästä syystä on vielä kummallisempaa löytää itsemme kampanjasta, joka keskittyy 100-prosenttisesti ODT-muotoon. .ODT-muoto on OpenDocument-tekstitiedostomuoto. Yleisesti ottaen se on Word DOCX:n avoin vastine. Tätä muotoa ei käytetä vain LibreOffice ja OpenOffice, mutta kaikki tekstinkäsittelyohjelmat, mukaan lukien Word, pystyvät avaamaan sen. Ja näin tekemällä käyttäjä paljastuu automaattisesti.

ODT haittaohjelma

Kattavan analyysin jälkeen näytteitä tästä haittaohjelmasta on havaittu verkosta kesäkuun 2022 alusta lähtien, mutta vasta heinäkuun alussa kopio ladattiin VirusYhteensä. Tämän hyökkäyksen toteuttamiseksi asiakirja kohdistuu useisiin etäpalvelimilla isännöityihin objekteihin, mutta tekee niin turvautumatta makroihin . Tällä tavalla se kiertää kaikki järjestelmän ja virustentorjunnan turvatoimenpiteet ja tekee uhan havaitsemisesta paljon vaikeampaa.

Tyypillisen makrojärjestelmän sijaan haitallinen asiakirja avataan, se kohdistuu yli 20 etälinkitettyyn OLE-objektiin. Käyttäjän on valittava, kyllä, jos hän haluaa ladata nämä objektit voidakseen päivittää (teoriassa) dokumentin sisällön. Jos lataamme ne, useita tiedostoja ladataan tietokoneellemme ja suoritetaan. Yksi näistä tiedostoista on Excel-taulukko, jossa on piilotettuja makroja. Ja tämä on se, joka lopulta laukaisee tartunnan makroa suoritettaessa: se asentaa AsyncRAT-troijalaisen tietokoneeseen .

AsyncRAT-infektio

välttää tartuntaa

Kuten näemme, prosessi on varsin monimutkainen alkuperäisestä ODT-asiakirjasta siihen asti, kunnes infektio suoritetaan järjestelmässä, mikä osoittaa, että hakkerit ovat tehneet paljon vaivaa välttääkseen haittaohjelmiensa havaitsemisen. Ja uudelleentartunnan varmistamiseksi se on erittäin aggressiivinen pysyvyysominaisuudet.

Käytetty infektiomenetelmä on hyvin klassinen: phishing email ODT:n kanssa . Koska se on vaaraton asiakirja, GMAIL tai virustorjunta eivät tunnista sitä uhkana. Mutta sillä hetkellä, kun toteutamme sen, olemme tuomittuja. Ja sillä ei ole väliä, avaammeko sen Office Wordilla, LibreOffice Writer tai jokin muu ohjelma.

Jos olemme saaneet tämän tiedoston postitse ja olemme suorittaneet sen PC:llä, on todennäköisimmin tartunnan saanut. ja siinä tapauksessa meidän on analysoitava tietokoneemme hyvällä päivitetyllä virustorjuntaohjelmalla uhan havaitsemiseksi ja estämiseksi. Ja lisäksi ole erittäin varovainen sinnikkyyden kanssa, koska se on tässä tapauksessa erittäin aggressiivinen.