Οι εγκληματίες του κυβερνοχώρου φαίνεται να έχουν μάθει μία νέα μέθοδο για την παράκαμψη των αντι-spam φίλτρων, μέσω της αποστολής ηλεκτρονικού ταχυδρομείου με ένα κενό έγγραφο του Word συνημμένο, που όμως περιέχει ύποπτες macro όπως αναφέρουν διάφοροι ερευνητές ασφαλείας.
Το δέλεαρ για να ανοίξει, ο παραλήπτης το αρχείο, είναι κάθε άλλο παρά ασυνήθιστο, αφού πρόκειται για ένα έγγραφο που προσποιείται ότι περιέχει οικονομικές πληροφορίες κάποιου είδους (τιμολόγιο, Τραπεζική δήλωση, νομοσχέδιο). Εντούτοις, δε περιέχει απολύτως καμία πληροφορία, εκτός από κακόβουλα payload script υπό τη μορφή macro.
Το χαρακτηριστικό γνώρισμα των macro που χρησιμοποιούνται σε στοιχεία του Office, είναι να βοηθήσουν το χρήστη να κάνει επαναλαμβανόμενες εργασίες με αυτοματοποιημένο τρόπο, εκτελώντας μια σειρά από προκαθορισμένες εντολές.
Ghost: Εξάρθρωση της πλατφόρμας κρυπτογραφημένων επικοινωνιών
Οι developers του malware, έχουν δει τη δυνατότητα της μεθόδου αυτής, και άρχισαν να ενσωματώνουν κακόβουλες εντολές που θα ενεργοποιήσουν τη λήψη και την εκτέλεση διαφόρων script,στον υπολογιστή του χρήστη.
Για πρόληψη, η Microsoft έχει αυτό το χαρακτηριστικό ανενεργό από προεπιλογή, παρέχοντας τη δυνατότητα να το ενεργοποιήσουν αυτοί που το χρειάζονται. Επιπλέον, μετά την ενεργοποίηση των macro, ένα μήνυμα ενημερώνει τον χρήστη για τους σχετικούς κινδύνους.
Ερευνητές ασφάλειας στο Bitdefender, βρήκαν μια καμπάνια spam, που βασίζεται σε έγγραφα με κακόβουλες εντολές macro, ώστε να στείλουν από μια απομακρυσμένη τοποθεσία malware, που θα μπορούσε να είναι του τύπου ransomware.
Στις περισσότερες περιπτώσεις, τα φίλτρα anti-spam που είναι διαθέσιμα στο διακομιστή ηλεκτρονικού ταχυδρομείου, θα αποτρέψουν κάποιο επικίνδυνο μηνύματα από το να φτάσει στο φάκελο “Εισερχόμενα”, αλλά οι ερευνητές λένε ότι σε αυτή την περίπτωση, επειδή το έγγραφο δεν περιέχει οποιοδήποτε κείμενο, ως εκ τούτου καθαρό, το φίλτρο δε μπορεί να το σταματήσει.
Το BitDefender λέει ότι ο κώδικας της εντολής μπορεί να παρακάμψει τα προγράμματα προστασίας από ιούς, πράγμα που σημαίνει ότι το κακόβουλο μήνυμα είναι ικανό να περάσει από άλλον ένα σύστημα άμυνας του υπολογιστή.
Φαίνεται ότι αυτή η εκστρατεία spam είχε τουλάχιστον 7.000 ηλεκτρονικά ταχυδρομεία που παραδίδεται σε μία ημέρα, ως επί το πλείστον στους χρήστες σε Ιταλία, Γαλλία, ΗΠΑ, Ηνωμένο Βασίλειο, Αυστραλία, τον Καναδά και τη Γερμανία.
Η αποφυγή του κινδύνου είναι αρκετά απλή και συνίσταται στην απενεργοποίηση των macro. Αν ανοιχτεί το έγγραφο, μια προειδοποίηση ασφαλείας θα ενημέρωση για τον ενδεχόμενο κινδύνου. Η ακύρωση του pop-up δε θα ενεργοποιήσει την εντολή για τη λήψη του κακόβουλου λογισμικού.
