- Angribere fandt en ny vej inde i din computer og efterlod alle dine data afsløret.
- Denne gang udnyttede geniale cyberkriminelle en kritisk Microsoft Office-patch.
I denne stadigt voksende og konstant skiftende onlineverden er trusler blevet så almindelige og så svære at opdage, at forbliv beskyttet kun er et spørgsmål om at forblive et skridt foran angriberne.
Nye forskningsresultater offentliggjort af cybersikkerhedsfirma Sophos, viser, at ondsindede tredjeparter var i stand til at tage en offentligt tilgængelig proof-of-concept Office-udnyttelse og våben den til at levere Formbook-malwaren.
Angiveligt lykkedes det cyberkriminelle faktisk at skabe en udnyttelse, der var i stand til at omgå en kritisk fjernudførelsessårbarhed i Microsoft Office, som blev rettet tidligere i år.
Angribere omgår kritisk Microsoft Office-patch med udnyttelse
Du behøver ikke at gå så længe tilbage i tiden for at finde ud af, hvor det hele startede. Tilbage i september udgav Microsoft en patch for at forhindre angribere i at udføre ondsindet kode indlejret i et Word-dokument.
Takket være denne fejl vil et Microsoft Cabinet (CAB) arkiv, der indeholder en ondsindet eksekverbar, automatisk blive downloadet.
Dette blev opnået ved at omarbejde den originale udnyttelse og placere det ondsindede Word-dokument inde i en specielt udformet RAR-arkiv, der leverede en form for udnyttelse, der med succes kunne undgå original patch.
Desuden blev denne seneste udnyttelse leveret til sine ofre ved hjælp af spam-e-mails i cirka 36 timer, før den forsvandt fuldstændigt.
Sikkerhedsforskerne hos Sophos mener, at udnyttelsens begrænsede levetid kan betyde, at det var et tørløbseksperiment, der kunne bruges i fremtidige angreb.
Pre-patch-versionerne af angrebet involverede ondsindet kode pakket ind i en Microsoft Cabinet-fil. Da Microsofts patch lukkede det smuthul, opdagede angribere et proof-of-concept, der viste, hvordan du kunne samle malwaren i et andet komprimeret filformat, et RAR-arkiv. RAR-arkiver er blevet brugt før til at distribuere ondsindet kode, men den proces, der blev brugt her, var usædvanlig kompliceret. Det lykkedes sandsynligvis kun, fordi programrettelsens opgave var meget snævert defineret, og fordi WinRAR-programmet, som brugerne skal åbne RAR'en er meget fejltolerant og synes ikke at have noget imod det, hvis arkivet er forkert udformet, for eksempel fordi det er blevet pillet ved.
Det blev også opdaget, at de ansvarlige angribere havde oprettet et unormalt RAR-arkiv, der havde et PowerShell-script foran et ondsindet Word-dokument gemt inde i arkivet.
For at hjælpe med at sprede dette farlige RAR-arkiv og dets ondsindede indhold, oprettede angriberne og distribuerede spam-e-mails, som inviterede ofre til at komprimere RAR-filen for at få adgang til Word dokument.
Så du må hellere huske på dette, når du beskæftiger dig med denne software, og hvis noget virker endda fjernt mistænkeligt.
At holde sig sikker bør være den første prioritet for os alle, når vi beskæftiger os med internettet. Simple handlinger, der kan virke harmløse først, kan udløse alvorlige kæder af begivenheder og konsekvenser.
Var du også et offer for disse malware-angreb? Del din oplevelse med os i kommentarfeltet nedenfor.
