Word のように見えます: 単純な文書でハッキングする方法

簡単な文書であなたをハッキングする方法

ハッカーは、ユーザーをだましてハッキング攻撃を実行させる新しい方法を常に探しています。 そして、このために、彼らは通常、可能な限り多くのユーザーを攻撃できる、非常に人気があり、広く使用されているファイル形式に頼っています。 この上、 HPウルフ セキュリティ 研究者は、新しいマルウェア配布キャンペーンを検出しました。 .ODT 形式を利用する 検出できない方法でマルウェアを配布します。

ハッカーは、他のファイル形式を使用して攻撃を実行することがよくあります。 たとえば、最も一般的なのは PDF または .BAT または .EXE 実行可能ファイル。 このため、ODT フォーマットに 100% 焦点を当てたキャンペーンに参加することは、さらに奇妙です。 .ODT 形式は、 OpenDocument テキスト ファイル形式。 大まかに言えば、これは Word DOCX のオープンな同等物です。 この形式は、 LibreOfficeの および OpenOffice ですが、Word を含むすべてのワード プロセッサで開くことができます。 そうすることで、ユーザーは自動的に公開されます。

ODT マルウェア

徹底的な分析の結果、このマルウェアのサンプルは 2022 年 XNUMX 月の初めからネットワーク上で検出されていますが、コピーがアップロードされたのは XNUMX 月の初めまでではありませんでした。 VirusTotal。 この攻撃を実行するために、ドキュメントはリモート サーバーでホストされているさまざまなオブジェクトを標的にしていますが、実際にそうしています。 マクロに頼らずに . このようにして、システムとウイルス対策のすべてのセキュリティ対策を回避し、脅威の検出をはるかに困難にします。

典型的なマクロ システムを使用する代わりに、悪意のあるドキュメントを開くと、リモートでリンクされた 20 を超える OLE オブジェクトをターゲットにします。 ドキュメントのコンテンツを (理論上) 更新できるようにこれらのオブジェクトをダウンロードする場合、ユーザーは [はい] を選択する必要があります。 それらをダウンロードすると、いくつかのファイルがコンピューターにダウンロードされて実行されます。 これらのファイルの XNUMX つは、非表示のマクロを含む Excel シートです。 そして、これはマクロの実行時に最終的に感染を引き起こすものです: AsyncRAT トロイの木馬を PC にインストールします。 .

AsyncRAT 感染

感染を避ける

最初の ODT ドキュメントからシステム上で感染が実行されるまでのプロセスが非常に複雑であることがわかります。これは、ハッカーがマルウェアの検出を回避するために多大な努力を払ったことを示しています。 そして、再感染を確実にするために、非常に攻撃的です 持続性機能。

使用される感染方法は非常に古典的です。 フィッシング Eメール ODT を取り付けた状態 . 無害なドキュメントであるため、GMAIL もウイルス対策ソフトウェアも脅威として検出しません。 しかし、それを実行した瞬間、私たちは運命づけられます。 Office Word で開いても問題ありません。 LibreOfficeの ライター、またはその他のプログラム。

このファイルをメールで受け取り、PC 上で実行した場合、感染している可能性が高くなります。 その場合、私たちがしなければならないことは、脅威を検出してブロックするために、更新された優れたアンチウイルスで PC を分析することです。 さらに、この場合は非常に攻撃的であるため、永続化には細心の注意を払ってください。