طريقة متخصصة إلى حد ما تزداد شعبية
بعد اختفاء ملفات Microsoft Office Macro (يفتح في علامة تبويب جديدة)، يبدو أن هناك بديلًا آخر يكتسب شعبية، وفقًا لتقرير جديد.
شهد باحثو الأمن السيبراني في Deep Instinct زيادة في استخدام Microsoft Visual Studio Tools for Office (VSTO) من قبل مجرمي الإنترنت أثناء قيامهم ببناء وظائف Office الإضافية الضارة التي تساعدهم على تحقيق الثبات وتشغيل التعليمات البرمجية الضارة.
ما فعله المتسللون هنا هو إنشاء برامج ضارة تستند إلى .NET (يتم فتحها في علامة تبويب جديدة) ثم تضمينها في وظيفة إضافية في Office، وهي ممارسة تتطلب مستوى معينًا من المهارة من جهة التهديد.
تجاوز مضاد الفيروسات
النهج ليس جديدًا، لكنه لم يكن شائعًا في عهد وحدات الماكرو في Office. الآن بعد أن تخلصت Microsoft بشكل فعال من هذا التهديد، بدأت التهديدات المستندة إلى VSTO في الظهور بكثرة. يمكن إرسال هذه الوظائف الإضافية مع مستند Office، أو استضافتها في مكان آخر وتشغيلها بواسطة مستند Office أرسله مهاجم.
بمعنى آخر، سيظل الضحايا بحاجة إلى تنزيل ملفات Office والوظائف الإضافية وتشغيلها حتى يصابوا بالعدوى، لذلك سيظل التصيد الاحتيالي يلعب دورًا رئيسيًا. ومع ذلك، لا يزال ناقل الهجوم خطيرًا للغاية لأنه قادر على تجاوز برامج مكافحة الفيروسات وخدمات الحماية من البرامج الضارة الأخرى بنجاح. يوجد في الواقع، كان Deep Instinct قادرًا على إنشاء إثبات مفهوم فعال (PoC) لإحضار حمولة Meterpreter إلى نقطة نهاية. يمكن العثور على عرض فيديو توضيحي لـ PoC على هذا الرابط (يفتح في علامة تبويب جديدة). قال الباحثون إنهم أجبروا على تعطيل Microsoft Windows Defender لمجرد توثيق العملية.
وقالوا إن Meterpreter، وهو منتج أمني يستخدم لاختبار الاختراق، تم اكتشافه بسهولة بواسطة منتجات مكافحة الفيروسات، ولكن لم يتم اكتشاف جميع عناصر PoC.
بشكل عام، يتوقع الباحثون أن يستمر عدد الهجمات المستندة إلى VSTO في الارتفاع. كما يأملون في أن تتبنى الدول القومية وغيرها من اللاعبين ذوي الكفاءات العالية نفس النهج.