- Οι εισβολείς βρήκαν έναν νέο τρόπο μέσα στον υπολογιστή σας, αφήνοντας εκτεθειμένα όλα τα δεδομένα σας.
- Αυτή τη φορά, έξυπνοι εγκληματίες του κυβερνοχώρου εκμεταλλεύτηκαν μια κρίσιμη ενημέρωση κώδικα του Microsoft Office.
Σε αυτόν τον διαρκώς αναπτυσσόμενο και συνεχώς μεταβαλλόμενο διαδικτυακό κόσμο, οι απειλές έχουν γίνει τόσο συνηθισμένες και τόσο δύσκολο να εντοπιστούν που το να παραμείνετε προστατευμένοι είναι μόνο ένα βήμα μπροστά από τους εισβολείς.
Νέα αποτελέσματα έρευνας που δημοσιεύθηκαν από την εταιρεία κυβερνοασφάλειας Σοφός, δείχνουν ότι κακόβουλα τρίτα μέρη μπόρεσαν να εκμεταλλευτούν ένα δημοσίως διαθέσιμο απόδειξη της ιδέας του Office και να το οπλίσουν για να παραδώσουν το κακόβουλο λογισμικό Formbook.
Σύμφωνα με τους ισχυρισμούς, οι εγκληματίες του κυβερνοχώρου κατάφεραν πράγματι να δημιουργήσουν ένα exploit ικανό να παρακάμψει μια κρίσιμη ευπάθεια απομακρυσμένης εκτέλεσης κώδικα στο Microsoft Office, η οποία διορθώθηκε νωρίτερα αυτό το έτος.
Οι εισβολείς παρακάμπτουν κρίσιμη ενημέρωση κώδικα του Microsoft Office με εκμετάλλευση
Δεν χρειάζεται να γυρίσετε το χρόνο πίσω για να καταλάβετε από πού ξεκίνησαν όλα. Τον Σεπτέμβριο, η Microsoft κυκλοφόρησε μια ενημέρωση κώδικα για να αποτρέψει τους εισβολείς από την εκτέλεση κακόβουλου κώδικα που είναι ενσωματωμένος σε ένα έγγραφο του Word.
Χάρη σε αυτό το ελάττωμα, θα γίνει αυτόματη λήψη ενός αρχείου του Microsoft Cabinet (CAB), το οποίο περιέχει ένα κακόβουλο εκτελέσιμο αρχείο.
Αυτό επιτεύχθηκε με την εκ νέου επεξεργασία του αρχικού exploit και την τοποθέτηση του κακόβουλου εγγράφου του Word μέσα σε ένα ειδικά κατασκευασμένο αρχείο RAR, το οποίο παρείχε μια μορφή εκμετάλλευσης ικανή να αποφύγει επιτυχώς το πρωτότυπο έμπλαστρο.
Επιπλέον, αυτό το τελευταίο exploit παραδόθηκε στα θύματά του χρησιμοποιώντας spam email για περίπου 36 ώρες πριν εξαφανιστεί εντελώς.
Οι ερευνητές ασφαλείας στη Sophos πιστεύουν ότι η περιορισμένη διάρκεια ζωής του exploit θα μπορούσε να σημαίνει ότι ήταν ένα πείραμα ξηρής λειτουργίας που θα μπορούσε να χρησιμοποιηθεί σε μελλοντικές επιθέσεις.
Οι εκδόσεις πριν από την ενημέρωση κώδικα της επίθεσης περιελάμβαναν κακόβουλο κώδικα συσκευασμένο σε ένα αρχείο Microsoft Cabinet. Όταν η ενημέρωση κώδικα της Microsoft έκλεισε αυτό το κενό, οι εισβολείς ανακάλυψαν μια απόδειξη που έδειχνε πώς θα μπορούσατε να ομαδοποιήσετε το κακόβουλο λογισμικό σε μια διαφορετική μορφή συμπιεσμένου αρχείου, ένα αρχείο RAR. Τα αρχεία RAR έχουν χρησιμοποιηθεί στο παρελθόν για τη διανομή κακόβουλου κώδικα, αλλά η διαδικασία που χρησιμοποιήθηκε εδώ ήταν ασυνήθιστα περίπλοκη. Πιθανότατα πέτυχε μόνο επειδή η αποστολή της ενημέρωσης κώδικα ήταν πολύ στενά καθορισμένη και επειδή το πρόγραμμα WinRAR που πρέπει να ανοίξουν οι χρήστες το RAR είναι πολύ ανεκτικό σε σφάλματα και δεν φαίνεται να το πειράζει αν το αρχείο έχει κακή μορφή, για παράδειγμα, επειδή έχει παραβιαστεί.
Ανακαλύφθηκε επίσης ότι οι υπεύθυνοι εισβολείς είχαν δημιουργήσει ένα μη φυσιολογικό αρχείο RAR που είχε ένα σενάριο PowerShell που προέβλεπε ένα κακόβουλο έγγραφο του Word αποθηκευμένο μέσα στο αρχείο.
Για να βοηθήσουν στη διάδοση αυτού του επικίνδυνου αρχείου RAR και του κακόβουλου περιεχομένου του, οι εισβολείς δημιούργησαν και διένειμε ανεπιθύμητα μηνύματα ηλεκτρονικού ταχυδρομείου που προσκαλούσαν τα θύματα να αποσυμπιέσουν το αρχείο RAR για πρόσβαση στο Word έγγραφο.
Επομένως, καλύτερα να το έχετε κατά νου όταν ασχολείστε με αυτό το λογισμικό και αν κάτι σας φαίνεται έστω και πολύ ύποπτο.
Η διατήρηση της ασφάλειας πρέπει να είναι η νούμερο ένα προτεραιότητα για όλους μας όταν έχουμε να κάνουμε με το Διαδίκτυο. Απλές ενέργειες που μπορεί πρώτα να φαίνονται αβλαβείς, θα μπορούσαν να προκαλέσουν σοβαρές αλυσίδες γεγονότων και συνεπειών.
Ήσασταν και εσείς θύμα αυτών των επιθέσεων κακόβουλου λογισμικού; Μοιραστείτε την εμπειρία σας μαζί μας στην παρακάτω ενότητα σχολίων.
