Tin tặc khai thác MS Office để lây lan phần mềm độc hại tự nhân bản

Computer Security News

Chuyên gia bảo mật thông báo một lỗ hổng mà ảnh hưởng đến tất cả các phiên bản của Microsoft Office và có thể được khai thác bởi các tin tặc lây lan dựa trên vĩ mô tự nhân bản phần mềm độc hại.

Được thông báo về các lỗ hổng, Microsoft thực hiện một cơ chế bảo mật trong MS Office đó ngăn cản các loại tấn công. Tuy nhiên, mặc dù các cơ chế mới, một nhà nghiên cứu từ công ty InTheCyber đã tìm thấy một cuộc tấn công kỹ thuật để vượt qua sự kiểm soát an ninh và tạo ra các phần mềm độc hại tự nhân bản ẩn trong các văn bản MS Word.

Microsoft đã được thông báo về các lỗ hổng trong tháng mười, Tuy nhiên, công ty đã không xem xét các vấn đề lỗ hổng bảo mật và giải thích các tính năng được khai thác bởi các chuyên gia đã được thực hiện để làm việc chính xác theo cách này.

Điều gì là tồi tệ hơn mặc dù, là tin tặc đã khai thác cùng một véc tơ tấn công được báo cáo cho Microsoft. Một vài ngày trước đây, các chuyên gia bảo mật Trend Micro chi tiết một phát hiện mới dựa trên vĩ mô tự nhân bản ransomware được gọi là ‘qkG’ mà khai thác các lỗ hổng MS office tương tự.

“Hơn nữa giám sát vào qkG cũng cho thấy nó là nhiều hơn một dự án thử nghiệm hay bằng chứng của khái niệm (PoC) chứ không phải là một phần mềm độc hại sử dụng trong tự nhiên. Điều này, Tuy nhiên, không có ý qkG ít hơn của một mối đe dọa. Theo các mẫu qkG đã chứng minh hành vi của nó và các kỹ thuật có thể được điều chỉnh bởi các nhà phát triển hoặc diễn viên mối đe dọa khác.” phân tích được đăng bởi Trend Micro đọc.

QkG ransomware dựa trên kỹ thuật macro VBA đóng tự động thực thi lệnh vĩ mô độc hại khi nạn nhân đóng tài liệu.

Phiên bản đầu tiên của qkG ransomware bao gồm một địa chỉ Bitcoin, giống như các mẫu mới nhất của các mối đe dọa đòi tiền chuộc là $300 trong BTC. Theo các nhà nghiên cứu bảo mật, địa chỉ Bitcoin đã không nhận được bất kỳ thanh toán nào được nêu ra, cho thấy rằng tin tặc đã không lây lan phần mềm độc hại trên toàn cầu nào được nêu ra.

Các chuyên gia cũng cho thấy rằng qkG ransomware đang sử dụng mật khẩu hardcoded “I ‘m QkG@PTM17! by TNA@MHT-TT2” cho phép để giải mã các tập tin.

Tập đoàn Microsoft đã không đáng tin cậy macro bên ngoài theo mặc định và để hạn chế truy cập chương trình mặc định cho văn phòng VBA dự án mô hình đối tượng. Người dùng có thể bật bằng tay “Tin cậy truy cập để mô hình đối tượng dự án VBA,” nếu cần thiết.

Ngay sau khi cài đặt “truy cập tin cậy để mô hình đối tượng dự án VBA” được kích hoạt, MS Office tín thác tất cả macro và sẽ tự động chạy bất kỳ mã mà không hiển thị bất kỳ cảnh báo bảo mật hoặc đòi hỏi phải có sự cho phép của người dùng.

Người dùng có thể thiết lập cũng Khuyết tật “tin cậy truy cập vào mô hình đối tượng dự án VBA” enabled/ bằng cách chỉnh sửa registry của Windows, cuối cùng cho phép các macro để viết thêm macro mà không có sự đồng ý và kiến thức của người dùng.

Kỹ thuật tấn công được nghĩ ra bởi các nhà nghiên cứu Lino Antonio Buono và nó chỉ thấy hacker lừa nạn nhân vào chạy macro được bao gồm trong một tài liệu mồi.

“Để (một phần) giảm thiểu các tổn thương có thể di chuyển các khóa registry AccessVBOM từ tổ ong HKCU HKLM, làm cho nó có thể chỉnh sửa chỉ bởi hệ thống quản trị. Buono nói.


Leave a Reply

Your email address will not be published. Required fields are marked *