روش حمله ی وصله نشده ی جدید، که از ویژگی موجود در مایکروسافت آفیس بهره برداری می کند، در پویش های حملات بدافزاری گسترده، استفاده می شود. هفته ی گذشته گزارش دادیم که، نفوذگران چگونه می توانند با استفاده از یک ویژگی قدیمی مایکروسافت آفیس به نام تبادل داده ی پویا (DDE) ، کدهای مخرب را بدون نیاز به فعال سازی ماکروها یا خرابی حافظه در دستگاه هدف، اجرا کنند.
پروتکل تبادل دادهی پویا یکی از روش هایی است که مایکروسافت استفاده می کند، تا به دو برنامه ی در حال اجرا اجازه دهد، داده های مشابهی را به اشتراک بگذارند. هزاران برنامه، از جمله مایکروسافت اکسل، مایکروسافت ورد، Quattro Pro، و ویژوال بیسیک برای انتقال دادهها به یکباره و تبادل پیوسته برای ارسال بهروزرسانیها به یکدیگر، استفاده میشوند.
روش بهرهبرداری تبادل دادهی پویا هیچ هشدار امنیتی به قربانیان نشان نمیدهد، مگر اینکه از آنها بخواهید که اگر برنامههای مشخصشده در دستور را اجرا کنند، هشدار دهند، هر چند این هشدار پاپآپ نیز میتواند با اصلاح نحوی مناسبی حذف شود. کمی پس از انتشار عمومی جزئیات روش حمله تبادل دادهی پویا، گروه تحقیقاتی تهدید تلوی سیسکو گزارشی دربارهی یک پویش حمله منتشر کرد، که به طور فعال از این روش حمله، برای هدف قرار دادن چندین سازمان با یک بدافزار دسترسی از راه دور (RAT) به نام DNAMessenger بهرهبرداری میکند.
باتنت Necures از حملهی تبادل دادهی پویا برای انتشار باجافزار لاکی استفاده میکند.
شرکت SANS ISC گزارش داد که اکنون، نفوذگران از باتنت Necurs، بدافزاری که در حال حاضر بیش از ۶میلیون کامپیوتر آلوده در سراسر جهان را کنترل میکند و میلیونها ایمیل ارسال میکند، استفاده میکنند تا باجافزار لاکی و تروجان بانکی تریکبات را با استفاده از اسناد ورد که از تکنیک حملهی تبادل دادهی پویا جدید استفاده میکند، توزیع کنند.
نفوذگران باجافزار لاکی قبلا به اسناد مایکروسافت مخرب مبتنی بر ماکرو متکی بودند، اما در حال حاضر باتنت Nercus را بهروزرسانی کردهاند تا بدافزار را با بهرهبرداری از تبادل دادهی پویا انتقال دهند و امکان گرفتن تصویر از دسکتاپ قربانیان را داشته باشند.
سیمانتیک در یک پست وبلاگی گفت: «این باتنت میتواند از صفحه عکس بگیرد و برای یک سرور راه دور ارسال کند. همچنین یک قابلیت گزارش خطا وجود دارد که جزئیاتی دربارهی هر خطایی که دانلودکننده، هنگام تلاش برای انجام فعالیتهای خود با آن مواجه میشود را ارسال میکند.» یکی دیگر از پویشهای اسپم بدافزار که توسط محققان امنیتی کشف شد، بدافزار Hancitor (که با نامهای Chanitor و Tordal شناخته شده) را با استفاده از بهرهبرداری تبادل دادهی پویا مایکروسافت آفیس توزیع میکند.
بدافزار Hancitor یک دانلودکننده است که بارهای دادهی مخرب مانند تروجانهای بانکداری، بدافزار و باجافزار سرقت داده را روی ماشینهای آلوده نصب میکند و معمولا آنها را به عنوان یک سند مایکروسافت آفیس با ماکروی فعال، در ایمیلهای فیشینگ انتقال میدهد.
چگونه خود را در برابر حملات تبادل دادهی پویا ورد محافظت کنید؟
به دلیل اینکه تبادل دادهی پویا یک ویژگی قانونی مایکروسافت است، اکثر آنتیویروسها هیچ گونه هشداری نمیدهند و یا اسناد مایکروسافت آفیس با فیلدهای تبادل دادهی پویا را مسدود نمیکنند، و شرکت فنآوری نیز هیچ برنامهای برای انتشار یک وصله که عملکرد آن را حذف کند، ندارد.
بنابراین شما میتوانید با غیرفعال کردن گزینه «باز بودن لینکهای بهروزرسانی خودکار» در برنامههای مایکروسافت آفیس، از خود و سازمان خود در برابر چنین حملاتی محافظت کنید.
با این حال، بهترین راه برای محافظت از خود در برابر چنین حملاتی این است که، همیشه به هر سند ناخواندهای که از طریق ایمیل ارسال شده، مشکوک باشید و هرگز روی لینکهای داخل این اسناد کلیک نکنید، مگر اینکه منبع آن کاملا مورد تایید شما باشد.