นักวิจัยจาก Trustwave SpiderLabs ผู้เชี่ยวชาญด้านภัยคุกคามพบเทคนิคใหม่ซึ่งทำให้ผู้ใช้ติดมัลแวร์ โดยเทคนิคนี้มีความซับซ้อนหลายลำดับชั้น ขั้นแรกจะมีการส่งอีเมลเอกสาร Word ไปหาผู้ใช้งานก่อนและเพียงแค่เปิดเอกสารเท่านั้นซึ่งไม่ต้องใช้ความสามารถของ Macro ที่มัลแวร์เดิมๆ นิยมใช้เมื่อมีโจมตีผ่านทาง Word หลังจากนั้นมันจะเริ่มกระบวนการอื่นเพิ่มเติมจนสุดท้ายผู้ใช้จะติดมัลแวร์ที่เข้าไปขโมย Credentials ภายในเครื่อง
เทคนิคที่เกิดขึ้นเป็นดังนี้
- เหยื่อได้รับไฟล์อีเมลสแปมที่มี DOCX แนบมาด้วย
- เหยื่อดาวน์โหลด DOCX ซึ่งภายในมี OLE ไฟล์อยู่ด้วย (เป็นเทคโนโลยีของ Microsoft ที่ทำให้สามารถเพิ่มข้อมูลอื่นๆ ไปยังเอกสารได้) และเปิดไฟล์
- OLE จะดาวน์โหลดและเปิดไฟล์ RTF (Document File Format ของ Microsoft) ที่แสร้งว่าเป็น DOC ไฟล์
- DOC ไฟล์จะใช้ CVE-2017-11882 ช่องโหว่ของ Equation Editor เพื่อรันคำสั่ง MSHTA (Microsoft HTML Application โปรแกรมที่มักลงมาควบคู่กับ IE ในชื่อ mshta.exe รองรับภาษาเช่น VBScript หรือ JScript ด้วย)
- คำสั่ง MSTA จะไปดาวน์โหลด HTA ไฟล์ที่มี VBScript อยู่เพื่อแตกเป็น PowerShell Script ออกมา
- PowerShell Script ดาวน์โหลดและติดตั้งตัวขโมยรหัสผ่าน
- ขโมยรหัสผ่านจาก Browser, Email และตัวลูกข่าย FTP และอัปโหลดข้อมูลกลับไปยังเซิร์ฟเวอร์ภายนอก
ภายในเนื้ออีเมลที่หลอกล่อหน้าตาจะเป็นไปตามรูปด้านล่าง ความน่ากังวลคือเทคนิคซับซ้อนเหล่านี้อาจจะถูกแฮ็กเกอร์กลุ่มอื่นประยุกต์ใช้ได้ในอนาคต อย่างไรก็ตามวิธีการป้องกันตัวคือหมั่นอัปเดตแพตซ์ Windows และ Office ไว้เสมอจะเห็นได้ว่ามีการใช้ช่องโหว่เข้ามาร่วมด้วยในเทคนิคใหม่ครั้งนี้ ผู้สนใจสามารถติดตามดูการโจมตีฉบับเต็มได้ที่นี่