แฮ็กเกอร์ใช้การโจมตี Word แบบใหม่ ‘Multi-stage’ ได้ผลแม้ไม่เปิด Macro

นักวิจัยจาก Trustwave SpiderLabs ผู้เชี่ยวชาญด้านภัยคุกคามพบเทคนิคใหม่ซึ่งทำให้ผู้ใช้ติดมัลแวร์ โดยเทคนิคนี้มีความซับซ้อนหลายลำดับชั้น ขั้นแรกจะมีการส่งอีเมลเอกสาร Word ไปหาผู้ใช้งานก่อนและเพียงแค่เปิดเอกสารเท่านั้นซึ่งไม่ต้องใช้ความสามารถของ Macro ที่มัลแวร์เดิมๆ นิยมใช้เมื่อมีโจมตีผ่านทาง Word หลังจากนั้นมันจะเริ่มกระบวนการอื่นเพิ่มเติมจนสุดท้ายผู้ใช้จะติดมัลแวร์ที่เข้าไปขโมย Credentials ภายในเครื่อง

credit : Bleeping Computer

 

เทคนิคที่เกิดขึ้นเป็นดังนี้

  • เหยื่อได้รับไฟล์อีเมลสแปมที่มี DOCX แนบมาด้วย
  • เหยื่อดาวน์โหลด DOCX ซึ่งภายในมี OLE ไฟล์อยู่ด้วย (เป็นเทคโนโลยีของ Microsoft ที่ทำให้สามารถเพิ่มข้อมูลอื่นๆ ไปยังเอกสารได้) และเปิดไฟล์
  • OLE จะดาวน์โหลดและเปิดไฟล์ RTF (Document File Format ของ Microsoft) ที่แสร้งว่าเป็น DOC ไฟล์
  • DOC ไฟล์จะใช้ CVE-2017-11882 ช่องโหว่ของ Equation Editor เพื่อรันคำสั่ง MSHTA (Microsoft HTML Application โปรแกรมที่มักลงมาควบคู่กับ IE ในชื่อ mshta.exe รองรับภาษาเช่น VBScript หรือ JScript ด้วย)
  • คำสั่ง MSTA จะไปดาวน์โหลด HTA ไฟล์ที่มี VBScript อยู่เพื่อแตกเป็น PowerShell Script ออกมา
  • PowerShell Script ดาวน์โหลดและติดตั้งตัวขโมยรหัสผ่าน
  • ขโมยรหัสผ่านจาก Browser, Email และตัวลูกข่าย FTP และอัปโหลดข้อมูลกลับไปยังเซิร์ฟเวอร์ภายนอก

ภายในเนื้ออีเมลที่หลอกล่อหน้าตาจะเป็นไปตามรูปด้านล่าง ความน่ากังวลคือเทคนิคซับซ้อนเหล่านี้อาจจะถูกแฮ็กเกอร์กลุ่มอื่นประยุกต์ใช้ได้ในอนาคต อย่างไรก็ตามวิธีการป้องกันตัวคือหมั่นอัปเดตแพตซ์ Windows และ Office ไว้เสมอจะเห็นได้ว่ามีการใช้ช่องโหว่เข้ามาร่วมด้วยในเทคนิคใหม่ครั้งนี้ ผู้สนใจสามารถติดตามดูการโจมตีฉบับเต็มได้ที่นี่

credit : Bleeping Computer

ที่มา : https://www.bleepingcomputer.com/news/security/multi-stage-word-attack-infects-users-without-using-macros/



About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

[PR] Silver Peak ยกระดับความปลอดภัยเครือข่ายแวน (WAN) เปิดตัวเทคโนโลยีการจัดแบ่งเซกเมนต์และการผูกโยงบริการรักษาความปลอดภัยกับโซลูชัน Unity EdgeConnect SD-WAN ที่มีรางวัลการันตี

ขีดความสามารถที่ล้ำหน้าส่งผลให้องค์กรที่หันมาใช้ระบบคลาวด์สามารถควบคุมนโยบายความปลอดภัยจากส่วนกลางที่ทำงานแบบอัตโนมัติ ทั้งยังเชื่อมต่อผู้ใช้โดยตรงกับแอปพลิเคชันได้อย่างปลอดภัย

OpenBSD ปิดใช้งาน Hyper-Threading ของชิป Intel เหตุด้านความมั่นคงปลอดภัย

OpenBSD ประกาศวันนี้ว่ามีแผนยกเลิกการรองรับการทำงานแบบ Hyper-Threading ของชิปประมวลผล Intel เพื่อแก้ปัญหาด้านความมั่นคงปลอดภัยเพราะเชื่อว่าอาจจะมี Bug ระดับ Spectre โผล่ตามมาอีก