Uzmanlar, saldırganların hedefli saldırıları başarılı bir şekilde faaliyete geçirmek için kullandıkları popüler ofis belgesi belge-oluşturma yazılımında bir özellik keşfetti.
Basit bir ofis belgesi açıldığında etkinleştirilen kötü niyetli bir uygulama, kurbanın cihazına yüklenen yazılım aracılığıyla bilgileri, kullanıcı etkileşimi olmadan otomatik olarak saldırganlara gönderiyor. Bu veriler, saldırganların hedeflenen aygıtı hacklemek için kurbanlardan nasıl yararlanmaları gerektiğini anlamalarını sağlıyor.
Bu süreçte belgenin hangi cihazda açıldığı önemli değil. Saldırı tekniği, popüler metin işleme yazılımının masaüstü ve mobil sürümleri üzerinde çalışıyor. Araştırmacıların FreakyShelly adını verdiği ve en az bir siber casus tarafından kullanılan bu profilleme yöntemini gözlemledi. Sorun yazılım sağlayıcısına bildirildi ancak henüz tam olarak düzeltilmedi.
Uzmanlar, bir süre önce FreakyShelly hedefli saldırıları araştırılırken, OLE2 formatındaki belgelerin “spear-phishing” postası gönderdiğini tespit etti (Bunlar, Nesneye Bağlanma-Object Linking ve Yerleştirme-Embedding teknolojisini kullanarak, uygulamaların internetten çeşitli kaynaklardan gelen bilgileri içeren bileşik belgeler oluşturmasına yardımcı oluyor). Bununla birlikte, belgenin hareketi derinlemesine incelendiğinde, belgenin açılmasıyla birlikte yabancı bir web sayfasına belirli bir GET isteği gönderdiği görüldü. GET isteğinde, aygıtta kullanılan tarayıcı, işletim sisteminin sürümü ve saldırıya uğramış aygıta yüklenen diğer yazılımlarla ilgili bilgiler yer alıyordu. Sorun ise uygulamanın bu web sayfasına herhangi bir istek göndermemesi gerektiğiydi.
Birçok araştırma, belgenin öğeleri hakkındaki teknik bilginin işlenmesi ve depolanması odağında saldırının işe yaradığını gösteriyor. Her bir dijital belge, stili, metin konumu ve kaynağı hakkında, belgeler için resimlerin (eğer varsa) tutulması gereken diğer meta verileri ve parametreleri içerir. Ofis uygulaması açıldığı anda bu parametreleri okur ve bunları harita olarak kullanarak belgeleri oluşturur. Araştırmacıların ortaya koyduğu sonuçlar, belgede kullanılan resimlerin yerini belirten parametrenin, saldırganlar tarafından karmaşık kod manipülasyonları ile değiştirildiğini ve belgeyi, tehdit unsuru içeren web sayfasına yönlendirdiğini gösteriyor.
Uzmanlar, böyle bir saldırıya maruz kalmanın önüne geçmek adına şunları öneriyor:
- Bilinmeyen adreslerden gönderilen e-postaları ve bu e-postalardaki herhangi bir eklentiyi açmayın;
- Koruma çözümleri bu tür saldırıları tespit edebilen kanıtlanmış güvenlik çözümlerini kullanın.