Breaking News

แฮ็กเกอร์ใช้การโจมตี Word แบบใหม่ ‘Multi-stage’ ได้ผลแม้ไม่เปิด Macro

นักวิจัยจาก Trustwave SpiderLabs ผู้เชี่ยวชาญด้านภัยคุกคามพบเทคนิคใหม่ซึ่งทำให้ผู้ใช้ติดมัลแวร์ โดยเทคนิคนี้มีความซับซ้อนหลายลำดับชั้น ขั้นแรกจะมีการส่งอีเมลเอกสาร Word ไปหาผู้ใช้งานก่อนและเพียงแค่เปิดเอกสารเท่านั้นซึ่งไม่ต้องใช้ความสามารถของ Macro ที่มัลแวร์เดิมๆ นิยมใช้เมื่อมีโจมตีผ่านทาง Word หลังจากนั้นมันจะเริ่มกระบวนการอื่นเพิ่มเติมจนสุดท้ายผู้ใช้จะติดมัลแวร์ที่เข้าไปขโมย Credentials ภายในเครื่อง

credit : Bleeping Computer

 

เทคนิคที่เกิดขึ้นเป็นดังนี้

  • เหยื่อได้รับไฟล์อีเมลสแปมที่มี DOCX แนบมาด้วย
  • เหยื่อดาวน์โหลด DOCX ซึ่งภายในมี OLE ไฟล์อยู่ด้วย (เป็นเทคโนโลยีของ Microsoft ที่ทำให้สามารถเพิ่มข้อมูลอื่นๆ ไปยังเอกสารได้) และเปิดไฟล์
  • OLE จะดาวน์โหลดและเปิดไฟล์ RTF (Document File Format ของ Microsoft) ที่แสร้งว่าเป็น DOC ไฟล์
  • DOC ไฟล์จะใช้ CVE-2017-11882 ช่องโหว่ของ Equation Editor เพื่อรันคำสั่ง MSHTA (Microsoft HTML Application โปรแกรมที่มักลงมาควบคู่กับ IE ในชื่อ mshta.exe รองรับภาษาเช่น VBScript หรือ JScript ด้วย)
  • คำสั่ง MSTA จะไปดาวน์โหลด HTA ไฟล์ที่มี VBScript อยู่เพื่อแตกเป็น PowerShell Script ออกมา
  • PowerShell Script ดาวน์โหลดและติดตั้งตัวขโมยรหัสผ่าน
  • ขโมยรหัสผ่านจาก Browser, Email และตัวลูกข่าย FTP และอัปโหลดข้อมูลกลับไปยังเซิร์ฟเวอร์ภายนอก

ภายในเนื้ออีเมลที่หลอกล่อหน้าตาจะเป็นไปตามรูปด้านล่าง ความน่ากังวลคือเทคนิคซับซ้อนเหล่านี้อาจจะถูกแฮ็กเกอร์กลุ่มอื่นประยุกต์ใช้ได้ในอนาคต อย่างไรก็ตามวิธีการป้องกันตัวคือหมั่นอัปเดตแพตซ์ Windows และ Office ไว้เสมอจะเห็นได้ว่ามีการใช้ช่องโหว่เข้ามาร่วมด้วยในเทคนิคใหม่ครั้งนี้ ผู้สนใจสามารถติดตามดูการโจมตีฉบับเต็มได้ที่นี่

credit : Bleeping Computer

ที่มา : https://www.bleepingcomputer.com/news/security/multi-stage-word-attack-infects-users-without-using-macros/




About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Red Hat, Hortonworks และ IBM ประกาศความร่วมมือ พัฒนาระบบ Containerized Big-Data ทำงานได้แบบ Hybrid

Red Hat, Hortonworks และ IBM ประกาศสร้างความร่วมมือ Open Hybrid Architecture Initiative พัฒนาระบบ Containerized Big-data workloads ทำงานได้แบบ …

เชิญร่วมงานสัมมนา CDIC 2018 ลงทะเบียนวันนี้รับส่วนลดทันที 10%

Software Park Thailand และ ACIS Professional Center ร่วมกับเหล่าพันธมิตร ขอเชิญผู้ที่สนใจเข้าร่วมงานสัมมนาประจำปีด้านความมั่นคงปลอดภัยไซเบอร์ที่ยิ่งใหญ่ที่สุดในประเทศไทยและภูมิภาคอาเซียน “Cyber Defense Initiative Conference (CDIC) 2018” …