Fancy Bear, nhóm hacker nguy hiểm bậc nhất nước Nga, đang tích cực khai thác một kỹ thuật mới, tái tạo lại phương thức tấn công đã được biết đến từ lâu nhưng vẫn còn lạ lẫm với nhiều người, đó chính là sử dụng các tập tin Microsoft Office như Word. Bằng kỹ thuật này, các hacker có thể phát tán mã độc cho máy tính mà chương trình chống virus không phát hiện ra. Một lổ hổng bảo mật mới rất nên được chú ý.
Gần đây, nhóm này bị phát hiện khi đang gửi một tập tin văn bản Word khai thác tính năng có tên gọi là Dynamic Data Exchange (DDE). DDE cho phép một tập tin thực thi mã độc đã được lưu trữ trong một tập tin khác và cho phép các ứng dụng gửi/nhận bản cập nhật dữ liệu mới.
Trong một bài đăng trên blog của mình, các nhà nghiên cứu của công ty Trend Micro cho biết, Fancy Bear đã gửi một tệp văn bản có tên “IsisAttackInNewYork.docx” nhằm khai thác tính năng DDE này. Khi được mở, tập tin này sẽ kết nối với máy chủ điều khiển để tải xuống nội dung của phần mềm độc hại có tên là Seduploader và cài đặt nó vào máy tính nạn nhân.
Một bài viết của công ty bảo mật SensePost hồi tháng trước đã khơi dậy ổại mối quan tâm về DDE mặc dù nó đã được biết đến từ nhiều năm nay. Bài đăng còn cho biết, DDE có thể bị lạm dụng để cài đặt phần mềm độc hại bằng cách sử dụng các tập tin Word mà không bị phần mềm chống virus phát hiện.
Một ngày sau khi Trend Micro công bố báo cáo về Fancy Bear, Microsoft đã đưa ra khuyến cáo để người dùng Office có thể tự bảo vệ mình khỏi các cuộc tấn công. Cách đơn giản nhất để giữ an toàn là cẩn trọng trước mọi thông điệp lạ hiện ra mỗi khi mở các tệp văn bản.
SensePost cảnh báo, trước khi tính năng DDE được kích hoạt, người dùng sẽ thấy một hộp thoại giống như dưới đây:
Nếu nhấn YES, một lời nhắc sẽ tiếp tục được đưa ra:
Phần mềm chứa mã độc được thực thi chỉ khi nào người dùng click YES trên cả hai cảnh báo.
Khuyến cáo của Microsoft cũng chỉ ra rằng, về mặt kỹ thuật, có thể thay đổi các thiết lập trong registry của Windows để ngăn chặn tính năng DDE tự động cập nhật dữ liệu từ tập tin này sang tập tin khác.
Fancy Bear không phải là nhóm hacker đầu tiên tích cực khai thác tính năng DDE. Một vài tuần sau khi bài viết SensePost được công khai, các nhà nghiên cứu cho biết những kẻ tấn công đã lợi dụng tính năng này để cài đặt cài đặt phần mềm tống tiền ransomware lên các thiết bị.
Nhiều chuyên gia an ninh đã nhấn mạnh về khả năng của các cuộc tấn công kích hoạt tính năng DDE nhằm lây lan phần mềm độc hại thông qua các tệp văn bản có thể diễn ra mà không cần bật macro. Mối nguy hiểm của việc bật macro trong các tệp văn bản đã được nhiều người biết đến nhưng DDE lại không cần như vậy, điều này khiến nó thực hiện các cuộc tấn công hiệu quả hơn.
Dù vậy, bạn cũng không cần phải quá lo lắng. Cơ chế tấn công dựa trên DDE có các dấu hiệu nhận biết riêng và người dùng hoàn toàn có thể phòng tránh.
