Renomirana kompanija u područuju bezbjednosti FireEye je objavila upozorenje za korisnike na hakerske napade koji koriste malware preko elektronske pošte sa Word dokumentom u prilogu.
 | |
| Prikaz operacija koje se odvijaju pri korisničkoj interakciji sa dokumentom |
Napad počinje kada korisnik otvori Word dokument koji je stigao preko elektronske pošte, bilo da su u pitanju sumnjivi pošiljaoci ili poznati pošiljaoci (međutim već zraženi). Sam dokument izgleda bezopasno, međutim u njega je ugrađena Visual Basic skripta. Otvaranjem dokumenta, počinje povezivanje malware-a sa serverom napadača i dolazi do preuzimanja HTA fajla koji je maskiran da izgleda kao Word Rich Document fajl. Korisnik je potpuno nesvjestan da se u pozadini odvija preuzimanje drugih malware-a.
Ovaj način napada je značajan zato što od korisnika ne zahtjeva da omogući makro-e da bi se dokument mogao otvoriti, kao što je to bio slučaj kod sličnih napada u prošlosti, a dodatno se krije tako što ustvari otvara Word dokument, čime od korisnika sakriva ono što se događa u pozadini.
Ovi napadi obično budu usmjereni protiv ciljanih meta, ali je česta pojava da pogađaju i širu populaciju korisnika. Vi kako korisnik bi trebali da budete sumnjičavi kada vam preko elektronske pošte dolaze Word dokumenti i od poznatih pošoljalaca.
Ovi napadi se izvršavaju na svim verzijma Microsoft Office-a i to na potpuno ažuriranim sistemimima, pa čak i na Windows 10 za koga Microsoft tvrdi da je do sada najsigurniji njihov operativni sistem.
KAKO SE ZAŠTITI: Dok Microsoft ne pripremi odgovarajući sigurnosni patch, korisnik se može zaštiti na sledeće načine:
1. Onemogućiti otvaranje RTF dokumenata u aplikaciji Word.
2. Malware se neće aktivirati ukoliko je Office podešen da otvara dokumente u Protected View modu.
3. Kvalitetno anti-virus riješenje u kombinaciji sa edukacijom korisnika.
INFEKCIJA UREĐAJA: Ukoliko utvrdite ili sumnjate da vam je uređaj zaražen, odmah ga isključite iz mreže (sa kabla ili WiFi-a) i ugasite uređaj. Nakon toga kontaktirajte najbliži servis i informišite se o naredenom koraku.
Izvori:
FireEye Labs Team, Microsoft Security Response Center (MSRC).
