به گزارش
گرداب، پژوهشگران Cymulate حمله اثبات مفهومی (PoC) این روش را ایجاد کردند که با استفاده از یک لینک ویدئو YouTube و یک سند ایجاد شده است.
ویژگی درج ویدئو در Word یک اسکریپت HTML در پشت تصویر ویدئو (thumbnail) ایجاد میکند که پس از کلیک روی تصویر ویدئو، اسکریپت ایجاد شده توسط مرورگر اینترنت اکسپلورر اجرا میشود.
اسکریپت HTML درج شده حاوی یک بدافزار رمزشده با Base۶۴ است که بخش مدیریت دانلود را برای مرورگر اینترنت اکسپلورر باز میکند و بدافزار را نصب میکند. از نظر کاربر، ویدئو کاملا قانونی بنظر میرسد، اما بدافزار به طور مخفیانه و در پسزمینه نصب میشود.
به گفته پژوهشگران، با بهرهبرداری موفق از این آسیبپذیری، اجرای هر کدی از جمله نصب باجافزار یا تروجان امکانپذیر خواهد بود. ممکن است برنامههای ضد ویروس بدنه منتقل شده را شناسایی کنند، اما سوء استفاده از بدنههای روز صفر میتواند بهترین بازدهی را برای مهاجمین داشته باشد.
مهاجم باید قربانی را مجاب کند را سند مخرب را باز کند و روی ویدئو درج شده کلیک کند، از این رو استفاده از مهندسی اجتماعی و فیشینگ بهترین روش حمله است. نکته دیگر این است که برنامه Word هیچ هشداری را پس از کلیک روی ویدئو درج شده نمایش نمیدهد.
پژوهشگران گفتهاند که این رویکرد به طور بالقوه تمامی کاربران Office ۲۰۱۶ و قدیمیتر را تحت تاثیر قرار میدهد.
برای محافظت از این رویکرد، سازمانها باید اسناد Word حاوی ویدئوهای درج شده را مسدود کنند و اطمینان حاصل کنند تا برنامه ضدویروس آنها به روز باشد. اسناد Word که دارای تگ embeddedHtml در فایل Document.xml اسناد Word هستند نیز باید مسدود شوند.
منبع: افتا
