Lỗ hổng thực thi đoạn mã từ xa trong Microsoft Office (CVE-2017-0199) nằm trong Windows Object Linking and Embedding (OLE), do đó bản vá đã được phát hành vào tháng Tư năm nay. Nhưng hiểm họa vẫn có thể xuất hiện qua những cách khác.
Các nhà nghiên cứu an ninh mạng tại Trend Micro vừa phát hiện ra một chiến dịch malware mới sử dụng lỗ hổng tương tự, nhưng đây là lần đầu tiên nó được giấu sau một tập tin PowerPoint (PPSX).
Theo các nhà nghiên cứu này, việc tấn công sẽ bắt đầu bằng một tập tin đính kèm trong email giả mạo từ nhà cung cấp cáp và chủ yếu hướng tới các công ty trong ngành sản xuất điện tử. Các nhà nghiên cứu cho rằng kiểu tấn công này có sử dụng địa chỉ người gửi trá hình là email thật của phòng kinh doanh.
Cách thức tấn công qua tập tin PowerPoint
Bước 1: Email chứa tập tin PowerPoint nhiễm độc (PPSX) trong file đính kèm, giả mạo cung cấp thông tin giao hàng về một đơn hàng nào đó.
Email giả mạo với nội dung cung cấp thông tin về đơn hàng
Bước 2: Khi đã được thực thi, tập tin PPSX sẽ gọi một tập tin XML được lập trình sẵn trong đó để tải file logo.doc từ địa chỉ từ xa và chạy nó qua tính năng PowerPoint Show.
Bước 3: Tập tin logo.doc sẽ khai thác lỗ hổng CVE-2017-0199, tải và thực thi RATMAN.exe trên hệ thống mục tiêu.
Bước 4: RATMAN.exe là một phiên bản trojan của công cụ Remcos Remote Control, khi được cài đặt sẽ cho phép kẻ tấn công kiểm soát máy tính bị nhiễm độc từ máy chủ C&C từ xa.
Remcos vốn là công cụ hợp pháp nhưng bị hacker tạo bản trojan
Remcos là công cụ truy cập từ xa tùy biến hợp pháp và cho phép người dùng điều khiển hệ thống của họ từ bất kì đâu trên thế giới với một số khả năng nhất định, như tải, thực thi dòng lệnh, ghi hoạt động bàn phím, màn hình và ghi hình webcam cũng như microphone.
Vì lỗ hổng được dùng để lấy tập tin Rich Text File (RTF) bị nhiễm độc nên hầu hết các phương pháp phát hiện CVE-2017-0199 đều tập trung vào RTF. Việc sử dụng tập tin PPSX mới cũng cho phép kẻ tấn công vượt qua công cụ phát hiện virus.
Cách dễ nhất để ngăn bạn khỏi bị tấn công kiểu này là tải bản vá của Microsoft đã được phát hành vào tháng Tư tại địa chỉ này. https://portal.msrc.microsoft.com/en-US/eula