Oštećeni Word dokumenti za izbjegavanje bezbjednosnog softvera
Otkrivena je nova phishing kampanja koristi oštećene Microsoft Word dokumente kao priloge u elektronskoj pošti, pokazuje istraživanje kompanije Any.Run. Ovaj sofisticirani napad je dizajniran da izbjegne bezbjednosni softver i prevari zaposlene da otkriju svoje osjetljive akreditive.
OŠTEĆENI WORD DOKUMENTI
Kampanja koristi širok spektar tema vezanih za beneficije i bonuse za zaposlene u pokušaju da prevari nesvjesne žrtve da otvore oštećene priloge. Elektronske poruke se predstavljaju kao da potiču iz legitimnih izvora kao što su platni spisak ili odjeljenja za ljudske resurse, što povećava njihov kredibilitet i vjerovatnoću da ih primaoci otvore.
Zlonamjerni Word dokumenti se namjerno oštećuju tokom kreiranja, zbog čega većina bezbjednosnih alata ne može da ih otkrije zbog nedostatka odgovarajućih procedura za rukovanje oštećenim tipovima datoteka. Ova oštećenja sprečavaju antivirusni softver da identifikuje bilo kakav zlonamjerni softver unutar datoteka, što navodi korisnike da vjeruju da su preuzeli bezbjedan dokument kada u stvari sadrži štetan sadržaj. Svi dokumenti u ovoj kampanji uključuju base64 kôdiran niz “IyNURVhUTlVNUkFORE9NNDUjIw”, koji se dekodira u “##TEXTNUMRANDOM45##”.
Nakon otvaranja oštećenog Word dokumenta, Microsoft Office aplikacije otkrivaju njegovo oštećeno stanje i pokreću mehanizme oporavka dizajnirane da vrate originalni sadržaj datoteke. Dokumenti su oštećeni na takav način da se mogu lako oporaviti. Proces oporavka omogućava korisniku da vidi željenu poruku ili sadržaj unutar dokumenta dok nesvjesno aktivira bilo koji zlonamjerni teret skriven u njemu. U ovoj specifičnoj kampanji, zlonamjerni akteri su dodali QR kôd koji korisnike vodi do lažne Microsoft stranice za prijavu u pokušaju da ukradu njihove akreditive.
Uticaj
Implikacije ovog napada mogu biti ozbiljne, jer uspješna krađa akreditiva može dovesti do neovlaštenog pristupa osjetljivim podacima kompanije ili čak do finansijskih gubitaka. Da stvar bude još gora, korištenje oštećenih Word dokumenata otežava bezbjednosnim rješenjima da otkriju ove napade pre nego što dostignu svoje predviđene ciljeve.
Ova tehnika je još jedan primjer kako zlonamjerni akteri neprestano inoviraju kako bi pronašli nove načine da izbjegnu softver za bezbjednost elektronske pošte i uspješno isporuče svoje phishing poruke elektronske pošte u prijemno sanduče meta. Ovo podvlači važnost da se bude na oprezu, posjeduje spoznaja ovakvih taktika i da se primjene snažne bezbjednosne mjere za zaštitu od ovih prijetnji koje se stalno razvijaju.
ZAKLJUČAK
Otkriće ove kampanje ilustruje koliko su zlonamjerni akteri stalno u potrazi za ranije neviđenim tehnikama da zaobiđu softver za bezbjednost elektronske pošte i osiguraju da njihova phishing elektronska pošta dospije u prijemno sanduče meta. U ovom slučaju, oni su iskoristili ugrađeni mehanizam za oporavak u okviru Microsoft Word aplikacije da kreiraju oštećene datoteke koje mogu zaobići antivirusno skeniranje dok ih Word aplikacija i dalje može oporaviti.
Kako prijetnje u sajber bezbjednosti nastavljaju da se razvijaju, od suštinske je važnosti da organizacije ostanu budne i informisane o novim tehnikama napada kao što je phishing kampanja sa oštećenim Word dokumentima. Primjenom višeslojnog pristupa bezbjednosti elektronske pošte i edukacijom zaposlenih o prepoznavanju phishing pokušaja, organizacije mogu da se zaštite od ovih prijetnji koje se stalno mijenjaju.
ZAŠTITA
Evo nekoliko preporuka kako da se zaštitite od prijetnje namjerno oštećenih Word dokumenata:
- Biti na oprezu u vezi sa porukama elektronske pošte prilikom prijema, posebno onima koje sadrže priloge ili veze. Ako se elektronska poruka čini sumnjivom, bolje je biti na oprezu i izbjegavati otvaranje priloga ili klikanje na veze,
- Uvjeriti se da se koristi pouzdan dobavljača usluga elektronske pošte koji nudi robusne bezbjednosne funkcije kao što su filtriranje neželjene pošte, phishing zaštita i skeniranje zlonamjernog softvera. Redovno ažurirati podešavanja elektronske pošte da bi se osiguralo da su ove zaštite omogućene,
- U programu Microsoft Word, razmisliti o podrazumijevanom onemogućavanju makroa ili ih onemogućiti osim ako nisu digitalno potpisani. Ovo može pomoći u sprečavanju izvršavanja potencijalno štetnog kôda unutar dokumenta,
- Uvijek skenirati priloge pre otvaranja pomoću pouzdanog antivirusnog softvera. Ako je moguće, koristite izolovano okruženje (eng. sandbox) za skeniranje sumnjivih datoteka bez ugrožavanja sistema,
- Redovno ažurirajte Microsoft Office paket i drugi softver kako bi se osiguralo posjedovanje najnovijih bezbjednosnih ažuriranja. Ova ažuriranja često uključuju ispravke za ranjivosti koje bi zlonamjerni akteri mogli da iskoriste,
- Koristite jake, jedinstvene lozinke za sve naloge, uključujući naloge elektronske pošte. Razmisliti o korišćenju menadžera lozinki za bezbjedno skladištenje lozinki,
- Omogućiti autentifikaciju u dva koraka (eng. two-factor authentication – 2FA) na nalogu elektronske pošte i drugim važnim internet uslugama kad god je to moguće. Ovo dodaje još jedan sloj sigurnosti, jer zahteva i lozinku i drugi oblik verifikacije, kao što je kôd poslat na telefon ili kôd iz aplikacije za autentifikaciju,
- Potrebno je biti informisan o najnovijim sajber prijetnjama i kako se one koriste. Dijeliti ova saznanja sa drugima u organizaciji da bi se pomoglo u stvaranju kulture svesti o bezbjednosti,
- Redovno praviti rezervne kopije važnih podataka na eksternom čvrstom disku ili servisu za skladištenje u oblaku. U slučaju uspješnog napada, posjedovanje nedavnih rezervnih kopija može pomoći da se smanji uticaj i olakša oporavak,
- Potrebno je posjedovati plan odgovora na sajber prijetnju kako bi se tačno znalo koje korake treba preduzeti ako se otkrije sajber prijetnja. Ovo bi trebalo da uključuje izolovanje pogođenih sistema, obavještavanje relevantnih organa i vraćanje podataka iz rezervnih kopija.