HanYeu3841
New member
Dựa vào tính năng DDE trên các file Microsoft Office, bọn hacker có thể nhét mã độc vào máy tính mà mấy app diệt virus không hề hay biết luôn á!
Các researcher bảo mật cho hay, có một nhóm hacker xịn xò tên Fancy Bear đang "hồi sinh" lại một chiêu tấn công từ đời nào tía rồi, nhưng vẫn còn lạ lẫm với nhiều người, bằng cách dùng các file tài liệu Microsoft Office.
Nhờ chiêu này, bọn tấn công có thể lây nhiễm mã độc cho các máy tính, mà app chống virus không phát hiện ra. Đỉnh thật đấy!
Gần đây, nhóm hacker Fancy Bear này bị bắt quả tang đang gửi một file Word, có khai thác một tính năng tên là Dynamic Data Exchange (DDE). DDE cho phép một file chạy đoạn code lưu trong file khác và cho phép các app có thể gửi bản update dữ liệu mới.
Trong một bài đăng trên blog vào thứ Ba vừa rồi, các researcher tại Trend Micro cho biết, Fancy Bear đã gửi một file văn bản tên IsisAttackInNewYork.docx đã bị khai thác tính năng DDE này.
Khi nạn nhân mở file văn bản này lên, file sẽ kết nối với một máy chủ điều khiển để tải xuống phần đầu của malware tên Seduploader và cài vào máy tính nạn nhân. Hỏng ơi hỏng!
Việc tính năng DDE có thể bị khai thác như một chiêu tiêm mã độc đã được biết đến từ nhiều năm rồi, nhưng một bài đăng của hãng bảo mật SensePost vào cuối tháng trước đã làm "hồi sinh" lại sự quan tâm đến nó.
Bài đăng cho thấy tính năng DDE có khả năng bị lạm dụng để cài malware bằng cách dùng các file Word, mà các app chống virus không phát hiện ra được. Trầy trật thật!
Một ngày sau khi Trend Micro đăng báo cáo về Fancy Bear, Microsoft đã đưa ra lời khuyên về việc người dùng Office có thể tự bảo vệ mình khỏi các cuộc tấn công như thế nào. Cách đơn giản nhất để giữ an toàn là cẩn trọng trước mỗi thông báo lạ hiện ra mỗi khi mở các file văn bản nhé!
Theo như cảnh báo từ SensePost, trước khi tính năng DDE được kích hoạt, người dùng sẽ thấy một hộp thoại như dưới đây hiện ra khi mở file văn bản nhiễm mã độc:
Nếu nạn nhân bấm vào YES, họ sẽ thấy một lời nhắc nữa trông như dưới đây:
Phần mềm chứa mã độc sẽ chỉ chạy sau khi người dùng bấm YES trên cả hai cảnh báo. Nên nhớ kỹ: đừng bấm bừa nha!
Phần khuyến cáo của Microsoft cũng giải thích cho người dùng có hiểu biết kỹ thuật hơn, để họ có thể thay đổi phần setting trong registry nhằm vô hiệu hóa chức năng DDE, tự động cập nhật dữ liệu từ file này sang file khác.
Fancy Bear không phải nhóm đầu tiên "hăng hái" khai thác tính năng DDE này cho mục đích xấu xa. Một vài tuần sau bài đăng trên SensePost, các researcher phát hiện ra những kẻ tấn công khác đang lạm dụng tính năng này để cài ransomware luôn.
Nhiều researcher đã nhấn mạnh đến tính năng DDE này vì nó cho phép thực hiện các cuộc tấn công để lây lan malware thông qua các file văn bản Office mà không cần bật macro.
Trong khi sự nguy hiểm của việc bật macro trong các file văn bản đã được nhiều người biết đến, DDE lại không được chú ý nhiều, điều đó làm nó thực hiện các cuộc tấn công hiệu quả hơn. Nhưng cuối cùng cơ chế tấn công dựa trên DDE cũng có các dấu hiệu riêng, và mọi người có thể phòng tránh được nó mà!
Nguồn: soha.vn