Oszustwa związane ze złośliwym oprogramowaniem OpenDocument atakują hotele na całym świecie

Oszustwa związane ze złośliwym oprogramowaniem OpenDocument atakują hotele na całym świecie

Eksperci ds. bezpieczeństwa odkryli niedawno hakerów, których misja polega na skompromitowaniu hoteli w Ameryce Łacińskiej przy użyciu plików tekstowych OpenDocument.

Nieznani hakerzy używają rzadko spotykanej metody phishingu, która jak dotąd wydaje się działać dobrze, a wskaźnik wykrywalności VirusTotal dla wykorzystywanych szkodliwych plików wynosił zero niecałe dwa tygodnie temu.

Sama kampania wywołała również szereg pytań ze względu na pewne unikalne cechy i cechy, które odróżniają ją od innych.

problem z makro

Badacze cyberbezpieczeństwa z HP Wolf Security powiedzieli, że pod koniec czerwca 2022 r. wykryli kampanię phishingową rozpowszechniającą pliki tekstowe OpenDocument. OpenDocument to otwarty, niezależny od dostawcy format pliku rozpoznawany przez większość programów zwiększających produktywność, takich jak Word, LibreOffice Writer lub Apache OpenOffice Writer, jako jedna z najpopularniejszych alternatyw dla pakietu Microsoft Office.

Pliki te zostały rozesłane pocztą elektroniczną do hoteli w Ameryce Łacińskiej i przedstawione jako dokumenty rejestracyjne gości.

Jeśli ofiara pobierze i uruchomi plik, zostanie poproszona o "zaktualizowanie pól z odniesieniami do innych plików". Badacze opisują powiadomienie jako „zaszyfrowaną wiadomość” i twierdzą, że jeśli ofiara to potwierdzi, otwierany jest plik Exel.

Plik Excel poprosi użytkownika o włączenie makr i tu zaczyna się prawdziwy problem, ponieważ włączenie makr uruchamia łańcuch infekcji. W rezultacie ofiara jest instalowana z AsyncRAT, złośliwym trojanem dostępu zdalnego (otwiera się w nowej karcie). AsyncRAT jest opisany jako RAT, który umożliwia cyberprzestępcom zdalne monitorowanie i kontrolowanie zainfekowanych punktów końcowych (otwiera się w nowej karcie) za pośrednictwem bezpiecznego i zaszyfrowanego połączenia.

Ta kampania jest szczególnie ukradkowa, ponieważ analiza OpenDocument nie pokazuje żadnych ukrytych makr, twierdzą naukowcy. Ale dokument odnosi się do obiektów łączenia i osadzania obiektów (OLE), hostowanych zdalnie.

Stwierdzono, że dokument odwołuje się do prawie dwóch tuzinów innych dokumentów, które po pobraniu i otwarciu zawierają osadzone arkusze kalkulacyjne programu Excel, z których każdy wymaga uruchamiania makr.

Naukowcy wydają się nieco zdezorientowani tym podejściem, ponieważ cel „tak wielu zduplikowanych plików” pozostaje niejasny.

„Dokumenty przybywające spoza organizacji należy zawsze traktować podejrzliwie, zwłaszcza jeśli próbują załadować treści zewnętrzne z sieci, ale w praktyce nie zawsze jest to łatwa rada do zastosowania, zwłaszcza w branżach, które opierają się na wymianie informacji. dokumenty elektroniczne między dostawcami a klientami”, podsumował HP Wolf Security.