แฮ็กเกอร์ใช้การโจมตี Word แบบใหม่ ‘Multi-stage’ ได้ผลแม้ไม่เปิด Macro

นักวิจัยจาก Trustwave SpiderLabs ผู้เชี่ยวชาญด้านภัยคุกคามพบเทคนิคใหม่ซึ่งทำให้ผู้ใช้ติดมัลแวร์ โดยเทคนิคนี้มีความซับซ้อนหลายลำดับชั้น ขั้นแรกจะมีการส่งอีเมลเอกสาร Word ไปหาผู้ใช้งานก่อนและเพียงแค่เปิดเอกสารเท่านั้นซึ่งไม่ต้องใช้ความสามารถของ Macro ที่มัลแวร์เดิมๆ นิยมใช้เมื่อมีโจมตีผ่านทาง Word หลังจากนั้นมันจะเริ่มกระบวนการอื่นเพิ่มเติมจนสุดท้ายผู้ใช้จะติดมัลแวร์ที่เข้าไปขโมย Credentials ภายในเครื่อง

เทคนิคที่เกิดขึ้นเป็นดังนี้

• เหยื่อได้รับไฟล์อีเมลสแปมที่มี DOCX แนบมาด้วย
• เหยื่อดาวน์โหลด DOCX ซึ่งภายในมี OLE ไฟล์อยู่ด้วย (เป็นเทคโนโลยีของ Microsoft ที่ทำให้สามารถเพิ่มข้อมูลอื่นๆ ไปยังเอกสารได้) และเปิดไฟล์
• OLE จะดาวน์โหลดและเปิดไฟล์ RTF (Document File Format ของ Microsoft) ที่แสร้งว่าเป็น DOC ไฟล์
• DOC ไฟล์จะใช้ CVE-2017-11882 ช่องโหว่ของ Equation Editor เพื่อรันคำสั่ง MSHTA (Microsoft HTML Application โปรแกรมที่มักลงมาควบคู่กับ IE ในชื่อ mshta.exe รองรับภาษาเช่น VBScript หรือ JScript ด้วย)
• คำสั่ง MSTA จะไปดาวน์โหลด HTA ไฟล์ที่มี VBScript อยู่เพื่อแตกเป็น PowerShell Script ออกมา
• PowerShell Script ดาวน์โหลดและติดตั้งตัวขโมยรหัสผ่าน
• ขโมยรหัสผ่านจาก Browser, Email และตัวลูกข่าย FTP และอัปโหลดข้อมูลกลับไปยังเซิร์ฟเวอร์ภายนอก

ภายในเนื้ออีเมลที่หลอกล่อหน้าตาจะเป็นไปตามรูปด้านล่าง ความน่ากังวลคือเทคนิคซับซ้อนเหล่านี้อาจจะถูกแฮ็กเกอร์กลุ่มอื่นประยุกต์ใช้ได้ในอนาคต อย่างไรก็ตามวิธีการป้องกันตัวคือหมั่นอัปเดตแพตซ์ Windows และ Office ไว้เสมอจะเห็นได้ว่ามีการใช้ช่องโหว่เข้ามาร่วมด้วยในเทคนิคใหม่ครั้งนี้ ผู้สนใจสามารถติดตามดูการโจมตีฉบับเต็มได้ที่นี่

ที่มา : https://www.bleepingcomputer.com/news/security/multi-stage-word-attack-infects-users-without-using-macros/