athens

Το λογισμικό δημιουργίας εγγράφων έγινε επικίνδυνο

Οι ειδικοί της Kaspersky Lab έχουν ανακαλύψει μία λειτουργία στο δημοφιλές λογισμικό δημιουργίας εγγράφων, το οποίο έχει χρησιμοποιηθεί από τους επιτιθέμενους για την έναρξη επιτυχημένων στοχευμένων επιθέσεων. Χρησιμοποιώντας μια κακόβουλη εφαρμογή που ενεργοποιείται όταν ανοίγει ένα απλό έγγραφο office, οι πληροφορίες σχετικά με το λογισμικό που είναι εγκατεστημένο στη συσκευή του θύματος αποστέλλονται αυτόματα στους εισβολείς χωρίς να απαιτείται κάποιου είδους αλληλεπίδραση από τον χρήστη. Αυτά τα δεδομένα επιτρέπουν στους επιτιθέμενους να κατανοήσουν τον τύπο του exploit που θα πρέπει να χρησιμοποιήσουν για να παραβιάσουν τη στοχευμένη συσκευή. Δεν έχει σημασία σε τι είδους συσκευή ανοίγεται το έγγραφο: η τεχνική επίθεσης λειτουργεί τόσο σε επιτραπέζιες όσο και σε φορητές εκδόσεις του δημοφιλούς λογισμικού επεξεργασίας κειμένου.
Η Kaspersky Lab έχει παρατηρήσει αυτή τη μέθοδο δημιουργίας προφίλ πιθανόν θυμάτων να χρησιμοποιείται σε φυσικό περιβάλλον από έναν τουλάχιστον φορέα ψηφιακής κατασκοπείας, τον οποίο οι ερευνητές της εταιρείας αποκαλούν FreakyShelly. Η Kaspersky Lab έχει αναφέρει το θέμα στον πωλητή λογισμικού, αλλά δεν έχει ακόμη πλήρως επιδιορθωθεί. Λίγο καιρό πριν, ενώ ερευνούσαν τις στοχευμένες επιθέσεις του FreakyShelly, οι ειδικοί της Kaspersky Lab ανίχνευσαν την αποστολή spear-phishing email σε έγγραφα τύπου OLE2 (αυτά χρησιμοποιούν την τεχνολογία Σύνδεσης και Ενσωμάτωσης αντικειμένων που βοηθά τις εφαρμογές να δημιουργούν σύνθετα έγγραφα που περιέχουν πληροφορίες από διάφορες πηγές, ακόμα και από το Διαδίκτυο). Μια γρήγορη προεπισκόπηση του αρχείου δεν προκάλεσε καμία καχυποψία ή δυσπιστία. Περιλάμβανε ένα σύνολο χρήσιμων συμβουλών για τον καλύτερο τρόπο χρήσης της μηχανής αναζήτησης Google και δεν περιείχε κανένα γνωστό exploit ή κακόβουλες μακροεντολές. Ωστόσο, μια καλύτερη ματιά στη δομή του εγγράφου έδειξε ότι, όταν ανοίχτηκε, το έγγραφο για κάποιον λόγο έστειλε ένα συγκεκριμένο αίτημα GET σε μια εξωτερική ιστοσελίδα.
Το αίτημα GET περιείχε πληροφορίες σχετικά με το πρόγραμμα περιήγησης που χρησιμοποιήθηκε στη συσκευή, την έκδοση του λειτουργικού συστήματος, καθώς και δεδομένα σχετικά με κάποιο άλλο λογισμικό που εγκαταστάθηκε στη συσκευή που δέχτηκε επίθεση. Το πρόβλημα ήταν ότι η εφαρμογή δεν υπήρχε καμία ανάγκη να στείλει κανενός είδους αίτημα στη ιστοσελίδα αυτή. Περαιτέρω έρευνα της Kaspersky Lab έδειξε ότι η επίθεση λειτουργεί εξαιτίας του τρόπου επεξεργασίας και αποθήκευσης τεχνικών πληροφοριών σχετικά με στοιχεία του εγγράφου. Κάθε ψηφιακό έγγραφο περιέχει συγκεκριμένα meta data σχετικά με τη μορφή, τη θέση κειμένου και την πηγή, από που πρέπει να λαμβάνονται εικόνες για το έγγραφο (αν υπάρχουν) και άλλες παράμετροι

About Freegr network

Από το Blogger.