Sajber kriminalci koriste MS Word za izvlačenje informacija o napadnutim sistemima

Vesti, 22.09.2017, 00:00 AM

Stručnjaci iz kompanije Kaspersky Lab otkrili su da su sajber kriminalci zloupotrebljavali jednu karakteristiku MS Office Worda i tako uspešno sprovodili ciljane napade. Koristeći malicioznu aplikaciju koja bi bila aktivirana svaki put kada bi bio otvoren Word dokument, informacije o softveru instaliranom na žrtvinom računaru bi odmah bile prosleđene napadačima, bez ikakve interakcije korisnika. Ove informacije su omogućavale napadačima da saznaju koje vrste ranjivosti treba da iskoriste ako žele da hakuju korisnikov uređaj.

Za aktivaciju nije neophodno da dokument bude otvoren, a maliciozni program funkcioniše bez obzira na tu činjenicu, i na desktop računarima i na mobilnim verzijama softvera za obradu teksta. Stručnjaci iz kompanije Kaspersky Lab posmatrali su ovakav metod kreiranja profila žrtava, koji su nazvali „FreakyShelly“. Kompanija je prijavila ovaj problem proizvođaču softvera, ali on još uvek nije u potpunosti rešen.

Pre određenog vremena, prilikom istraživanja „FreakyShelly“ ciljanih napada, stručnjaci iz kompanije Kaspersky Lab detektovali su masovne fišing emailove sa OLE2 formatom dokumenata (oni koriste tehnologiju povezivanja predmeta koja pomaže aplikacijama da kreiraju složene dokumente koji sadrže informacije sa različitih izvora, uključujući i internet). Jednostavna provera fajla nije izazvala sumnju, budući da je fajl sadržao savete kako na najbolji način iskoristiti Google pretraživač i nije sadržao poznate exploite ili maliciozne programe. Međutim, dubljom analizom ponašanja dokumenta ustanovljeno je da, nakon njegovog otvaranja, dokument šalje određene GET zahteve eksternoj web stranici. GET zahtev je sadržao informacije o pretraživaču koji je korišćen na uređaju, verziji operativnog sistema, kao i informacije o određenim programima instaliranim na napadnutom uređaju. Problem je bio u tome što aplikacija ne bi trebalo da šalje bilo kakve zahteve web stranici.

Ovakva vrsta napada funkcioniše zbog načina na koji se tehničke informacije o elementima dokumenata procesuiraju i skladište unutar njega. Svaki digitalni dokument sadrži specifične meta podatke o svom stilu, lokaciji teksta i izvoru, odakle bi trebalo preuzeti fotografije za dokumenta (ako ih ima), kao i druge parametre. Nakon otvaranja, Office aplikacija bi očitala te parametre i zatim kreirala dokument koristeći ih kao mapu“. Parametar koji je odgovoran za ukazivanje na lokaciju fotografija korišćenih u dokumentu napadači mogu promeniti preko sofisticiranog koda, i na taj način naterati dokument da pošalje informacije ka malicioznoj web stranici koja je pod kontrolom kriminalaca.

„Iako ova karateristika ne omogućava kriminalcima da sprovedu napade malvera, veoma je opasna zato što može da služi kao efikasna podrška za maliciozne aktivnosti, jer ne zahteva interakciju korisnika i ima mogućnost da dopre do velikog broja korisnika širom sveta, budući da je ranjivi softver veoma popularan. Za sada smo samo u jednoj situaciji videli da je ova karakteristika iskorišćena. Međutim, uzimajući u obzir činjenicu da je detekcija veoma komplikovana, sajber kriminalci će je u budućnosti sigurno iskorišćavati u znatno većoj meri”, izjavio je Aleksandar Liskin, menadžer sektora za heurističku detekciju u kompaniji Kaspersky Lab.

Kako ne bi postali žrtva ovakvih napada, korisnici treba da izbegavaju da otvaraju emailove poslate sa nepoznatih adresa, kao i priloge iz takvih emailova, i da koriste proverene i pouzdane antivirusne programe koja mogu detektovati ovakve napade.