محققان آزمایشگاه کسپرسکی عنوان كردند اخيرا حمله اي بر اساس اسناد مایکروسافت ورد برای جمع‌آوری اطلاعات کاربران صورت گرفته كه بر خلاف قبل از ماکروها یا محتوای فعال استفاده نمی‌شود. این اسناد مخرب ورد در قالب رایانامه‌های فیشینگ توزیع شده و در قالب OLE۲ هستند. در این اسناد مخرب، پیوندی به کدهای جاوا اسکریپت وجود دارد که بر روی وب‌گاه شخص سوم قرار دارند. بلافاصله پس از اينكه  کاربر سند را با آفیس باز می‌کند، برنامه‌ی کاربردی به یکی از پیوندهای موجود در آن دسترسی یافته و این مسئله باعث می‌شود تا مهاجم مطلع شود که بر روی سامانه‌ی قربانی چه نرم‌افزاری نصب شده است. 

حمله از طريق اسناد word

 

 در یکی از اسنادی که مورد بررسی قرار گرفته، نشان مي دهد چگونه با استفاده از جستجوی گوگل برای کمتر کردن شک‌ کاربر به‌طور موثر استفاده کرد به‌ویژه اینکه در این پرونده‌ها، محتوای فعال مانند پرونده‌های فلش وجود ندارد. با این حال، به محض اینکه کاربر پرونده‌ی مخرب را باز می‌کند، یک درخواست GET به سمت پیوند داخلی ارسال می‌شود. محققان امنیتی اشاره کردند که این اسناد مخرب ، از یک ویژگیِ مستندنشده در ورد استفاده می‌کنند که در آن از فیلد INCLUDEPICTURE استفاده می‌شود. این فیلد مشخص می‌کند آیا در متن به یک نویسه، تصاویری ضمیمه شده است یا خیر. این در حالی است که مهاجم از این ویژگی برای ضمیمه‌ی پیوندهای مخرب و مشکوک استفاده می‌کند.

 

  • 01.png
  • 02.png
  • 03.png
  • 04.png
  • 05.png
  • 06.png
  • 07.png
  • 08.png