Przez lata spreparowane pliki PDF w załącznikach e-maili były sposobem cyberprzestępców na atak na komputer ofiary. Jednak od dwóch lat hakerzy wykorzystują do tego chętniej pliki z pakietu Office.
Od 2019 roku Office jest najchętniej wykorzystywaną przez przestępców platformą do przeprowadzania ataków - tak wynika z raportu przygotowanego przez specjalistów z Kaspersky Lab. Aż 70% ataków, które wykryło oprogramowanie producenta, było powiązanych z pakietem Microsoftu, a zaledwie 14% miało na celu wykorzystanie luk w przeglądarkach. A jeszcze w 2018 roku proporcje prezentowały się odwrotnie - ataki z użyciem przeglądarek stanowiły 45% incydentów, zaś w Office wymierzonych było 16%. Skąd te zmiany? Przede wszystkim z ulepszeń w mechanizmach ochronnych przeglądarek, które sprawiły, że ich atakowanie stało się bardzo trudne. Wzrosła także świadomość użytkowników, którzy aktualizują je niemal natychmiast po wprowadzeniu przed producenta poprawek, a także już nie klikają bezmyślnie w linki.
Z kolei w przypadku Office atakujący ma do wyboru szereg formatów - co pozwala lepiej ukryć szkodliwy kod i oprogramowanie - a użytkownicy chętniej otwierają pliki .doc czy .xls niż .pdf. Na szczęście rośnie wykrywalność tak zamaskowanych wirusów. Pierwsza połowa 2020 roku przyniosła najwięcej zarejestrowanych ataków tą metodą - cyberprzestępcy rozsyłali najczęściej pliki Excela (czyli wyglądające niczym pliki Excela).
Warto zauważyć, że do ataków wykorzystywano nie luki w samym pakiecie MS OFfice, ale luki w powiązanych z nim komponentach. Luki te noszą oznaczenia kodowe CVE-2017-11882 oraz CVE-2018-0802. Hakerzy korzystają z nich chętnie, ponieważ komponenty te znajdują się w każdej wersji Microsoft Word wypuszczonej na rynek w trakcie ostatnich 17 lat. Kolejna ważna podatność nosi oznaczenie CVE-2018-8174. Po raz pierwszy pojawiła się w przeglądarce Internet Explorer. Umożliwia przeprowadzenie ataku za pomocą spreparowanych plików tekstowych w formacie .rtf.
A jak wygląda przebieg ataku przy wykorzystaniu platformy Office? Pierwszy krok to otwarcie przez ofiarę otrzymanego, fałszywego pliku. Jest to najczęściej skrypt VBS, który następnie pobiera złośliwy kod. Kod ten wykorzystuje podatność UAF do wykonania poleceń zaplanowanych przez włamywacza. I gotowe, komputer jest zainfekowany, a jak? To zależy od hakera i jego planów. Dlatego przypominamy, aby nie otwierać plików od nieznanych nadawców.
Źródło zdjęć: Andrea Piacquadio/Pexels