روش سئو: مركز افتای ریاست جمهوری از كشف روش مخفی انتقال بدافزار با استفاده از برنامه آفیس مایكروسافت اطلاع داد و به كاربران آفیس ۲۰۱۶ و قدیمی تر از آن برای ضرورت نصب آنتی ویروس اخطار داد.
به گزارش روش سئو به نقل از مهر، مركز مدیریت راهبردی افتای ریاست جمهوری اعلام نمود: به تازگی یك روش مخفی انتقال بدافزار كشف شده است؛ این روش بدین صورت عمل می كند كه مهاجم در اسناد Microsoft Word ویدئویی قرار می دهد كه كاربر بعد از كلیك روی ویدئو درج شده در سند، سبب می گردد تا كد جاوااسكریپت موجود اجرا شود. این رویكرد به صورت بالقوه تمامی كاربران Office ۲۰۱۶ و قدیمی تر را تحت تاثیر قرار می دهد. پژوهشگران Cymulate حمله اثبات مفهومی (PoC) این روش را تولید كردند كه با استفاده از یك لینك ویدئو YouTube و یك سند بوجود آمده است. خصوصیت درج ویدئو در Word یك اسكریپت HTML در پشت تصویر ویدئو (thumbnail) بوجود می آورد كه بعد از كلیك روی تصویر ویدئو، اسكریپت بوجود آمده توسط مرورگر اینترنت اكسپلورر اجرا می گردد. اسكریپت HTML درج شده حاوی یك بدافزار رمزشده با Base۶۴ است كه بخش مدیریت دانلود را برای مرورگر اینترنت اكسپلورر باز می كند و بدافزار را نصب می كند. از نظر كاربر، ویدئو كاملا قانونی به نظر می آید، اما بدافزار به صورت مخفیانه و در پس زمینه نصب می گردد. به قول پژوهشگران، با بهره برداری موفق از این صدمه پذیری، اجرای هر كدی همچون نصب باج افزار یا تروجان امكان پذیر خواهد بود. امكان دارد برنامه های ضد ویروس بدنه منتقل شده را شناسایی كنند، اما سوءاستفاده از بدنه های روز صفر (zero day) می تواند بهترین بازدهی را برای مهاجمان داشته باشد. مهاجم باید قربانی را مجاب كند را سند مخرب را باز كند و روی ویدئو درج شده كلیك كند، از این رو استفاده از مهندسی اجتماعی و فیشینگ بهترین روش حمله است. نكته دیگر این است كه برنامه Word هیچ هشداری را بعد از كلیك روی ویدئو درج شده نمایش نمی دهد. برای محافظت از این رویكرد، سازمان ها باید اسناد Word حاوی ویدئوهای درج شده را مسدود كنند و اطمینان حاصل كنند تا برنامه ضدویروس آنها به روز باشد. اسناد Word كه دارای تگ embeddedHtml در فایل Document.xml اسناد Word هستند هم باید مسدود شوند.
