Güvenlik uzmanları yakın zamanda, OpenDocument metin dosyalarını kullanarak Latin Amerika’daki otelleri tehlikeye atmak için özellikle gizli bir görevde olan bilgisayar korsanlarını keşfettiler.
Bilinmeyen bilgisayar korsanları, iki haftadan kısa bir süre önce VirusTotal’da kullanılan kötü amaçlı dosyaları tespit etme oranı sıfır olduğu için, şimdiye kadar iyi sonuç veren, nadiren görülen bir kimlik avı yöntemi kullanıyor.
Kampanyanın kendisi de, onu diğerlerinden ayıran bazı benzersiz özellikler ve özellikler nedeniyle bir dizi soruyu gündeme getirdi.
makro sorun
HP Wolf Security’den siber güvenlik araştırmacıları, Haziran 2022’nin sonlarında OpenDocument metin dosyalarını dağıtan bir kimlik avı kampanyası tespit ettiklerini söyledi. OpenDocument, Word, LibreOffice Writer veya Apache OpenOffice Writer gibi üretkenlik programlarının çoğu tarafından en popüler Microsoft Office alternatiflerinden biri olarak tanınan açık, satıcıdan bağımsız bir dosya biçimidir.
Bu dosyalar e-posta yoluyla Latin Amerika’daki otellere dağıtılıyor ve misafir kayıt belgeleri olarak sunuluyordu.
Kurbanın dosyayı indirip çalıştırması durumunda, “diğer dosyalara referanslarla alanları güncellemesi” istenecektir. Araştırmacılar istemi “şifreli bir mesaj” olarak tanımlıyor ve kurban onaylarsa bir Exel dosyasının açıldığını söylüyor.
Excel dosyası daha sonra kullanıcıdan makroları etkinleştirmesini isteyecek ve makrolara izin vermek enfeksiyon zincirini tetiklediğinden asıl sorun burada başlıyor. Sonuç olarak, kurban AsyncRAT’ı kurar – bir uzaktan erişim truva atı kötü amaçlı yazılımı (yeni sekmede açılır). AsyncRAT, tehdit aktörlerinin virüslü uç noktaları uzaktan izlemesine ve kontrol etmesine izin veren bir RAT olarak tanımlanır. (yeni sekmede açılır)güvenli, şifreli bir bağlantı aracılığıyla.
Araştırmacılar, OpenDocument analizi gizli makrolar göstermediğinden, bu kampanyanın özellikle gizli olduğunu söylüyor. Ancak belge, uzaktan barındırılan Nesne Bağlama ve Gömme (OLE) nesnelerine başvuruyor.
Belge, indirildiğinde ve açıldığında, her biri çalışan makrolar isteyen gömülü Excel elektronik tabloları içeren neredeyse iki düzine başka belgeye atıfta bulundu.
Araştırmacılar, “çok sayıda yinelenen dosyanın” amacı belirsizliğini koruduğu için bu yaklaşımla biraz şaşırmış görünüyor.
“Bir kuruluşun dışından gelen belgelere, özellikle web’den harici içerik yüklemeye çalışıyorlarsa, her zaman şüpheyle yaklaşılmalıdır – ancak pratikte, özellikle elektronik belge alışverişine dayanan endüstrilerde bu her zaman takip edilmesi kolay bir tavsiye değildir. tedarikçiler ve müşteriler arasında,” diyerek sözlerini tamamladı HP Wolf Security.