يستخدم المتسللون تصحيحًا لـ Microsoft Office لسرقة بياناتك الشخصية

في هذا العالم المتنامي والمتغير باستمرار عبر الإنترنت ، أصبحت التهديدات شائعة جدًا ويصعب اكتشافها ، فالبقاء محميًا هو مجرد مسألة البقاء متقدمًا على المهاجمين.

نتائج بحث جديدة نشرتها شركة الأمن السيبراني سوفوس، تبين أن الأطراف الثالثة الخبيثة كانت قادرة على استغلال Office لإثبات المفهوم المتاح للجمهور وتحويله إلى سلاح لتقديم برنامج Formbook الضار.

يُزعم أن مجرمي الإنترنت تمكنوا بالفعل من إنشاء ثغرة قادرة على تجاوز ثغرة أمنية حرجة في تنفيذ التعليمات البرمجية عن بُعد في Microsoft Office ، والتي تم تصحيحها في وقت سابق من هذا العام.

يتجاوز المهاجمون تصحيح Microsoft Office المهم باستغلال

لست مضطرًا للعودة بالزمن إلى الوراء كل هذا الوقت لمعرفة أين بدأ كل شيء. مرة أخرى في سبتمبر ، أصدرت Microsoft تصحيحًا لمنع المهاجمين من تنفيذ تعليمات برمجية ضارة مضمنة في مستند Word.

بفضل هذا الخلل ، سيتم تنزيل أرشيف Microsoft Cabinet (CAB) ، الذي يحتوي على ملف تنفيذي ضار ، تلقائيًا.

تم تحقيق ذلك من خلال إعادة صياغة الاستغلال الأصلي ووضع مستند Word الضار داخل ملف أرشيف RAR المصمم خصيصًا ، والذي قدم شكلاً من أشكال الاستغلال قادرًا على التهرب بنجاح من التصحيح الأصلي.

علاوة على ذلك ، تم تسليم هذا الاستغلال الأخير لضحاياه باستخدام رسائل البريد الإلكتروني العشوائية لحوالي 36 ساعة قبل أن يختفي تمامًا.

يعتقد الباحثون الأمنيون في Sophos أن العمر المحدود للثغرة قد يعني أنها كانت تجربة تشغيل جاف يمكن استخدامها في هجمات مستقبلية.

تضمنت إصدارات التصحيح المسبق للهجوم تعليمات برمجية ضارة تم تجميعها في ملف Microsoft Cabinet. عندما أغلقت حزمة Microsoft هذه الثغرة ، اكتشف المهاجمون إثباتًا للمفهوم أظهر كيف يمكنك تجميع البرامج الضارة في تنسيق ملف مضغوط مختلف ، وهو أرشيف RAR. تم استخدام أرشيفات RAR من قبل لتوزيع تعليمات برمجية ضارة ، لكن العملية المستخدمة هنا كانت معقدة بشكل غير عادي. من المحتمل أن يكون قد نجح فقط لأن اختصاص التصحيح كان محددًا بشكل ضيق للغاية ولأن برنامج WinRAR الذي يحتاج المستخدمون إلى فتحه RAR متسامح للغاية مع الأخطاء ولا يبدو أنه يخطر ببال إذا كان الأرشيف مشوهًا ، على سبيل المثال ، لأنه تم العبث به.

تم اكتشاف أن المهاجمين المسؤولين عن ذلك قاموا بإنشاء أرشيف RAR غير طبيعي يحتوي على نص برمجي PowerShell يسبق مستند Word ضار مخزن داخل الأرشيف.

من أجل المساعدة في نشر أرشيف RAR الخطير ومحتوياته الخبيثة ، أنشأ المهاجمون وتوزيع رسائل البريد الإلكتروني العشوائية التي دعت الضحايا إلى فك ضغط ملف RAR للوصول إلى Word وثيقة.

لذلك من الأفضل أن تضع ذلك في الاعتبار عند التعامل مع هذا البرنامج وإذا كان هناك شيء يبدو مريبًا حتى عن بعد.

يجب أن يكون البقاء في أمان هو الأولوية الأولى بالنسبة لنا جميعًا عند التعامل مع الإنترنت. الإجراءات البسيطة التي قد تبدو غير ضارة في البداية ، يمكن أن تؤدي إلى سلاسل خطيرة من الأحداث والعواقب.

هل كنت أيضًا ضحية لهجمات البرامج الضارة هذه؟ شارك تجربتك معنا في قسم التعليقات أدناه.