Buzz
Những chiêu trò lừa đảo, tấn công mạng ngày càng tinh vi, xảo quyệt hơn khiến người dùng dễ dàng 'sập bẫy'. Các kẻ tấn công đã sử dụng tính năng Dynamic Data Exchange (DDE) trên các tập tin Microsoft Office Office, để lây nhiễm mã độc vào máy tính mà các chương trình chống virus không phát hiện ra.
Nhóm hacker cao cấp này có tên Fancy Bear, đang tái sử dụng một kỹ thuật tấn công đã biết từ lâu, nhưng vẫn còn xa lạ với nhiều người, bằng cách sử dụng các tài liệu Microsoft Office Office. Nhờ kỹ thuật này, những kẻ tấn công có thể lây nhiễm mã độc vào các máy tính mà chương trình chống virus không phát hiện được.
Gần đây, nhóm hacker Fancy Bear này đã bị phát hiện khi gửi một file Word, sử dụng tính năng có tên gọi Dynamic Data Exchange (DDE). DDE cho phép một file thực thi đoạn mã từ một file khác và cho phép các ứng dụng có thể cập nhật dữ liệu mới.
Trên một bài đăng trên blog vào ngày thứ Ba vừa qua, các nhà nghiên cứu tại Trend Micro cho rằng, Fancy Bear đã gửi một tệp văn bản có tên IsisAttackInNewYork.docx đã khai thác tính năng DDE này. Khi người nhận mở tệp văn bản này, tệp sẽ kết nối với một máy chủ điều khiển để tải xuống phần đầu của phần mềm độc hại có tên gọi Seduploader và cài đặt nó vào máy tính của nạn nhân.
Việc tính năng DDE có thể bị khai thác như một kỹ thuật tiêm mã độc đã được biết đến từ nhiều năm nay, nhưng một bài đăng của hãng bảo mật SensePost vào cuối tháng trước đã làm hồi sinh lại mối quan tâm đến nó. Bài đăng cho thấy tính năng DDE có khả năng bị lạm dụng để cài đặt malware bằng cách sử dụng các file Word, mà các chương trình chống virus không phát hiện ra.
Một ngày sau khi Trend Micro đăng tải báo cáo của mình về Fancy Bear, Microsoft đã đưa ra lời khuyến cáo về việc người dùng Office có thể tự bảo vệ mình khỏi các cuộc tấn công như thế nào. Cách đơn giản nhất để giữ an toàn là cẩn trọng trước mỗi thông điệp lạ hiện ra mỗi khi mở các file văn bản.
Theo như cảnh báo từ SensePost, trước khi tính năng DDE có thể được kích hoạt, người dùng sẽ thấy một hộp thoại như dưới đây hiện ra khi mở một file văn bản nhiễm mã độc:
Nếu nạn nhân click vào YES, họ sẽ thấy một lời nhắc nhở trông như dưới đây:
Phần mềm chứa mã độc sẽ chỉ thực thi sau khi người dùng nhấp chuột vào YES trên cả hai cảnh báo.Phần khuyến cáo của Microsoft cũng giải thích cho người dùng có hiểu biết hơn về kỹ thuật, để họ có thể thay đổi phần thiết lập trong registry nhằm vô hiệu hóa chức năng DDE, tự động cập nhật dữ liệu từ file này sang file khác.
Fancy Bear không phải là nhóm đầu tiên tích cực khai thác tính năng DDE này cho mục đích độc hại. Một vài tuần sau khi bài đăng trên SensePost xuất hiện, các nhà nghiên cứu đã phát hiện ra những kẻ tấn công khác đang lạm dụng tính năng này để cài đặt ransomware.
Nhiều nhà nghiên cứu đã nhấn mạnh đến tính năng DDE này vì nó cho phép thực hiện các cuộc tấn công để lây lan malware thông qua các file văn bản Office mà không cần bật macro. Trong khi sự nguy hiểm của việc bật macro trong các file văn bản đã được nhiều người biết đến, DDE lại không như vậy, điều đó làm nó thực hiện các cuộc tấn công hiệu quả hơn. Nhưng cuối cùng cơ chế tấn công dựa trên DDE cũng có các dấu hiệu riêng, và mọi người có thể phòng tránh nó.
