Các hacker đang khai thác lỗ hổng trong phần mềm Microsoft Office để lây lan một loại phần mềm độc hại tinh vi có khả năng đánh cắp các chứng chỉ, khai thác tiền kỹ thuật số và tiến hành tấn công từ chối dịch vụ (DDoS).
Các nhà nghiên cứu tại FireEye đã quan sát một chiến dịch mới phát tán phần mềm độc hại thông qua email spam đến các mục tiêu trong ngành viễn thông, bảo hiểm và dịch vụ tài chính thì phát hiện có những tấn công mới nhằm khai thác các lỗ hổng mới được phát hiện trong bộ phần mềm văn phòng Microsoft Office.
Các email lừa đảo được thiết kế tinh vi có liên quan đến mục tiêu đã chọn và bao gồm tệp ZIP có chứa tài liệu độc hại, người dùng được khuyến khích mở nó ra. Một khi các tập tin tài liệu liên quan Microsoft Office này được truy cập, các lỗ hổng Office được khai thác và mã độc dựa trên PowerShell được chạy, lây nhiễm cho máy tính nạn nhân.
Một trong những lỗ hổng được kẻ tấn công khai thác là CVE-2017-11882. Lỗ hổng bảo mật trong Microsoft Office cho phép mã này tùy ý chạy khi một tệp độc hại được mở. Trong cách tấn công này, lỗ hổng cho phép tải thêm sau khi kích hoạt sử dụng URL đính kèm tệp độc hại. Tệp tải xuống có chứa tập lệnh PowerShell cực kỳ nguy hiểm.
Chiến dịch tấn công này cũng cố gắng khai thác CVE-2017-8759, một lỗ hổng tồn tại khi Microsoft .NET Framework xử lý các dữ liệu không đáng tin cậy và có thể cho phép kẻ tấn công kiểm soát hệ thống bị lây nhiễm. Trong trường hợp này, tệp DOC đính kèm với email lừa đảo chứa một đối tượng OLE được nhúng kích hoạt tải xuống URL đã lưu trữ để bắt đầu quá trình PowerShell. Lỗ hổng đã được tiết lộ và vá vào tháng 9/2017.
Nếu tệp lệnh PowerShell được chạy thành công, nó sẽ nạp code được tải từ máy chủ điều khiển và thực hiện lệnh độc hại, tự động giải nén phần mềm độc hại vào máy tính mục tiêu cùng với các chức năng cho phép kẻ tấn công sử dụng Tor để giấu các dấu vết. Phần mềm độc hại cũng chứa các plugin khác nhau cho phép kẻ tấn công bí mật truy cập vào hầu hết các loại dữ liệu được lưu trữ trên máy.
Ngoài ra, kẻ tấn công có khả năng ăn cắp mật khẩu từ các trình duyệt web phổ biến, ăn cắp mật khẩu từ các ứng dụng FTP và ăn cắp mật khẩu từ các tài khoản email khác liên kết trong máy tính.
Phần mềm độc hại cũng có thể ăn cắp từ ví điện tử bí mật và ăn cắp khoá cấp phép của hơn 200 ứng dụng phần mềm phổ biến, bao gồm Office, SQL Server, Adobe và Nero.
Ngoài việc có thể ăn cắp thông tin từ một máy tính nhiễm mã độc, những kẻ tấn công cũng có thể gán máy bị nhiễm vào một mạng máy tính lớn hơn để giúp thực hiện các cuộc tấn công DDoS và có thể sử dụng các máy tính như một công cụ để khai thác tiền kỹ thuật số.
Người dùng nên chắc chắn rằng mình đã tải xuống tất cả các bản vá được xuất bản cho lỗ hổng CVE-2017-11882 và CVE-2017-8759.
Người phát ngôn của Microsoft nói với ZDNet rằng: "Bản cập nhật bảo mật đã được phát hành vào năm ngoái và khách hàng đã áp dụng chúng, hoặc đã kích hoạt tính năng cập nhật tự động để được bảo vệ".
Xem thêm: