Τα αρχεία γραφείου της Microsoft έχουν χρησιμοποιηθεί από καιρό ως μέσο για την μεταφορά κακόβουλων προγραμμάτων. Οι ερευνητές στο Mimecast έχουν ανακαλύψει τελευταία αύξηση των κακόβουλων προγραμμάτων LimeRAT, χρησιμοποιόντας έναν προεπιλεγμένο κωδικό πρόσβασης του Excel.
Τα αρχεία Excel έχουν σχεδιαστεί να είναι εύκολα κρυπτογραφημένα, γεγονός που βοηθά τους εισβολείς να αποφεύγουν την ανίχνευση από τα κοινά συστήματα ανίχνευσης κακόβουλου λογισμικού όταν ένα αρχείο αποστέλλεται με ηλεκτρονικό ταχυδρομείο.
Όταν κλειδώνετε ένα αρχείο Excel με κωδικό πρόσβασης, κρυπτογραφείτε ολόκληρο το αρχείο χρησιμοποιώντας τον κωδικό πρόσβασης ως κλειδί κρυπτογράφησης / αποκρυπτογράφησης. Υπάρχει όμως μια παγίδα. Για να αποκρυπτογραφήσει ένα δεδομένο κρυπτογραφημένο υπολογιστικό φύλλο, το Excel προσπαθεί πρώτα να χρησιμοποιήσει έναν ενσωματωμένο κωδικό πρόσβασης “VelvetSweatshop” για να το αποκρυπτογραφήσει και να ανοίξει το αρχείο και να εκτελέσει έτσι τυχόν ενσωματωμένες μακροεντολές ή άλλο δυνητικά κακόβουλο κώδικα διατηρώντας το αρχείο μόνο για ανάγνωση.
Μόνο εάν ο κωδικός αυτός δεν λειτουργεί, το λογισμικό ζητά την συνδρομή από τον χρήστη. Αυτό είναι καλό για έναν εισβολέα, καθώς το αρχείο δεν θα παράγει προειδοποιήσεις εκτός από το ότι το αρχείο είναι μόνο για ανάγνωση.
Ο Matthew Gardiner, διευθυντής των εκστρατειών για την ασφάλεια των επιχειρήσεων στο Mimecast, γράφει στο blog της εταιρείας, ότι τα αρχεία του Microsoft Office είναι μερικά από τα πιο δημοφιλή αρχεία για την διασπορά κακόβουλου λογισμικού μέσω ηλεκτρονικού ταχυδρομείου. Οι εφαρμογές του Microsoft Office μπορούν να ανοίξουν και να εκτελέσουν αυτά τα αρχεία, είναι ευρέως αρχεία που είναι εύκολο να αλλάξουν για να αποφευχθεί η απλή ανίχνευση που βασίζεται στην υπογραφή αρχείων, διαθέτουν δυνατότητα μακροεντολής για να διευκολύνουν τη λειτουργία του προσαρμοσμένου κώδικα και διανέμονται τακτικά από τους καταναλωτές και τους επιχειρηματίες μέσω ηλεκτρονικού ταχυδρομείου, σαν οικονομικά φύλλα υπολογιστικών φύλλων. ”
Στην τελευταία επίθεση οι εγκληματίες του κυβερνοχώρου χρησιμοποίησαν επίσης ένα συνδυασμό άλλων τεχνικών σε μια προσπάθεια να ξεγελάσουν τα συστήματα κατά του κακόβουλου λογισμικού, κρυπτογράφοντας το περιεχόμενο του υπολογιστικού φύλλου, αποκρύπτοντας έτσι την εκμετάλλευση και το ωφέλιμο φορτίο.
Μόλις το LimeRAT εγκατασταθεί σε ένα σύστημα, ο επιτιθέμενος έχει πολλές δυνατότητες, συμπεριλαμβανομένης της παροχής ransomware, ενός cryptominer, ενός keylogger ή δημιουργίας ενός πελάτη bot.
Οι ερευνητές αναμένουν να δουν αυτή τη διαδρομή να χρησιμοποιείται σε πολλές άλλες κακόβουλες καμπάνιες phishing στο μέλλον και το Κέντρο Απειλών Mimecast έχει ειδοποιήσει τη Microsoft σε αυτήν την καμπάνια.
[signoff]
Πηγή : https://betanews.com
