Το Microsoft Office στα χέρια επιτιθέμενων με στόχο να σχηματίσουν το προφίλ πιθανόν θυμάτων στοχευμένων επιθέσεων

Οι ειδικοί της Kaspersky Lab έχουν ανακαλύψει μία λειτουργία στο δημοφιλές λογισμικό δημιουργίας εγγράφων, το οποίο έχει χρησιμοποιηθεί από τους επιτιθέμενους για την έναρξη επιτυχημένων στοχευμένων επιθέσεων. Χρησιμοποιώντας μια κακόβουλη εφαρμογή που ενεργοποιείται όταν ανοίγει ένα απλό έγγραφο office, οι πληροφορίες σχετικά με το λογισμικό που είναι εγκατεστημένο στη συσκευή του θύματος αποστέλλονται αυτόματα στους εισβολείς χωρίς να απαιτείται κάποιου είδους αλληλεπίδραση από τον χρήστη. Αυτά τα δεδομένα επιτρέπουν στους επιτιθέμενους να κατανοήσουν τον τύπο του exploit που θα πρέπει να χρησιμοποιήσουν για να παραβιάσουν τη στοχευμένη συσκευή.

Δεν έχει σημασία σε τι είδους συσκευή ανοίγεται το έγγραφο: η τεχνική επίθεσης λειτουργεί τόσο σε επιτραπέζιες όσο και σε φορητές εκδόσεις του δημοφιλούς λογισμικού επεξεργασίας κειμένου. Η Kaspersky Lab έχει παρατηρήσει αυτή τη μέθοδο δημιουργίας προφίλ πιθανόν θυμάτων να χρησιμοποιείται σε φυσικό περιβάλλον από έναν τουλάχιστον φορέα ψηφιακής κατασκοπείας, τον οποίο οι ερευνητές της εταιρείας αποκαλούν FreakyShelly. Η Kaspersky Lab έχει αναφέρει το θέμα στον πωλητή λογισμικού, αλλά δεν έχει ακόμη πλήρως επιδιορθωθεί.

Λίγο καιρό πριν, ενώ ερευνούσαν τις στοχευμένες επιθέσεις του FreakyShelly, οι ειδικοί της Kaspersky Lab ανίχνευσαν την αποστολή spear-phishing email σε έγγραφα τύπου OLE2 (αυτά χρησιμοποιούν την τεχνολογία Σύνδεσης και Ενσωμάτωσης αντικειμένων που βοηθά τις εφαρμογές να δημιουργούν σύνθετα έγγραφα που περιέχουν πληροφορίες από διάφορες πηγές, ακόμα και από το Διαδίκτυο). Μια γρήγορη προεπισκόπηση του αρχείου δεν προκάλεσε καμία καχυποψία ή δυσπιστία. Περιλάμβανε ένα σύνολο χρήσιμων συμβουλών για τον καλύτερο τρόπο χρήσης της μηχανής αναζήτησης Google και δεν περιείχε κανένα γνωστό exploit ή κακόβουλες μακροεντολές. Ωστόσο, μια καλύτερη ματιά στη δομή του εγγράφου έδειξε ότι, όταν ανοίχτηκε, το έγγραφο για κάποιον λόγο έστειλε ένα συγκεκριμένο αίτημα GET σε μια εξωτερική ιστοσελίδα. Το αίτημα GET περιείχε πληροφορίες σχετικά με το πρόγραμμα περιήγησης που χρησιμοποιήθηκε στη συσκευή, την έκδοση του λειτουργικού συστήματος, καθώς και δεδομένα σχετικά με κάποιο άλλο λογισμικό που εγκαταστάθηκε στη συσκευή που δέχτηκε επίθεση. Το πρόβλημα ήταν ότι η εφαρμογή δεν υπήρχε καμία ανάγκη να στείλει κανενός είδους αίτημα στη ιστοσελίδα αυτή.

Περαιτέρω έρευνα της Kaspersky Lab έδειξε ότι η επίθεση λειτουργεί εξαιτίας του τρόπου επεξεργασίας και αποθήκευσης τεχνικών πληροφοριών σχετικά με στοιχεία του εγγράφου. Κάθε ψηφιακό έγγραφο περιέχει συγκεκριμένα meta data σχετικά με τη μορφή, τη θέση κειμένου και την πηγή, από που πρέπει να λαμβάνονται εικόνες για το έγγραφο (αν υπάρχουν) και άλλες παράμετροι. Αφού ανοιχτεί, η office εφαρμογή θα διαβάσει αυτές τις παραμέτρους και στη συνέχεια θα δημιουργήσει το έγγραφο χρησιμοποιώντας τες ως “χάρτη”. Με βάση τα αποτελέσματα της έρευνας της Kaspersky Lab, η παράμετρος που είναι υπεύθυνη για την επισήμανση της θέσης των εικόνων που χρησιμοποιούνται στο έγγραφο μπορεί να αλλάξει από τους επιτιθέμενους μέσω εξελιγμένων χειρισμών κώδικα και να αναγκάσει το έγγραφο να αναφέρεται στην ιστοσελίδα που ανήκει στον απειλητικό φορέα.

«Παρόλο που αυτή η λειτουργία δεν υποβοηθά την επίθεση κακόβουλου λογισμικού, είναι επικίνδυνη επειδή μπορεί να υποστηρίξει αποτελεσματικά την κακόβουλη δραστηριότητα απαιτώντας σχεδόν μηδενική αλληλεπίδραση από τον χρήστη και είναι σε θέση να “φτάσει” πολλούς ανθρώπους σε όλο τον κόσμο, καθώς το λογισμικό που επηρεάζεται είναι πολύ δημοφιλές. Μέχρι τώρα έχουμε δει τη λειτουργία αυτή να χρησιμοποιείται σε μόνο μία περίπτωση. Ωστόσο, δεδομένου ότι είναι πραγματικά δύσκολο να εντοπιστεί, αναμένουμε ότι περισσότεροι φορείς μπορεί να αρχίσουν να χρησιμοποιούν την τεχνική στο μέλλον», δήλωσε ο Alexander Liskin, Heuristic Detection Group Manager της Kaspersky Lab.

Τα προϊόντα της Kaspersky Lab εντοπίζουν με επιτυχία και εμποδίζουν τις επιθέσεις που πραγματοποιούνται με τη βοήθεια αυτής της τεχνικής.

Προκειμένου να μην πέσουν θύματα μιας τέτοιας επίθεσης, οι ειδικοί της Kaspersky Lab συμβουλεύουν τους χρήστες να εφαρμόσουν τις ακόλουθες πρακτικές:

  • Αποφύγετε το άνοιγμα email που αποστέλλονται από άγνωστες διευθύνσεις, καθώς και το άνοιγμα τυχόν συνημμένων αρχείων σε τέτοιου είδους email.
  • Χρησιμοποιείτε αποδεδειγμένες λύσεις ασφάλειας, που είναι σε θέση να ανιχνεύουν τέτοιες επιθέσεις, όπως οι λύσεις προστασίας της Kaspersky Lab.

Μπορείτε να βρείτε την πλήρη έρευνα σε ειδικό blogpost στον ιστότοπο Securelist.com, το οποίο περιλαμβάνει επίσης περαιτέρω τεχνικές πληροφορίες για τη λειτουργία.

Το XBLOG χρησιμοποιεί cookies για την ορθή λειτουργία του.