ช่องโหว่ของซอฟต์แวร์ไฟล์เอกสาร Word ที่ผู้ร้ายไซเบอร์ใช้เหวี่ยงแหหาเหยื่อ

ผู้เชี่ยวชาญของแคสเปอร์สกี้ แลป ค้นพบฟีเจอร์ในซอฟต์แวร์สร้างเอกสารยอดนิยม ถูกใช้โดยมิจฉาชีพเป็นช่องทางโจมตีแบบมีเป้าหมาย โดยใช้แอพพลิเคชั่นร้ายที่จะเริ่มการทำงานเมื่อเอกสารออฟฟิศธรรมดาๆ ถูกเปิดขึ้น จากนั้นข้อมูลเกี่ยวกับซอฟต์แวร์ที่มีติดตั้งอยู่บนเครื่องของเหยื่อจะถูกส่งต่อไปยังมิจฉาชีพโดยอัตโนมัติ พวกมิจฉาชีพจึงเข้าใจเครื่องของเหยื่อมากขึ้น และสามารถเลือกใช้ exploit ที่เหมาะจะเจาะเข้าเป้าหมายอย่างได้ผล

kl2

 

มัลแวร์เหล่านี้มีเทคนิคการโจมตีได้ทั้งบนเดสก์ทอปและเครื่องโมบาย ไม่ว่าไฟล์เอกสารธรรมดาๆ นั้นจะเปิดขึ้นมาบนอุปกรณ์ประเภทใดก็ตาม แคสเปอร์สกี้ แลปสังเกตพบว่ารูปแบบการเหวี่ยงแหหาโปรไฟล์ของเหยื่อด้วยวิธีการเช่นนี้ ตัวแอคเตอร์จารกรรมไซเบอร์ ที่ทางแคสเปอร์สกี้ แลปเรียกว่า FreakyShelly เป็นตัวที่ใช้วิธีการนี้ และได้แจ้งเตือนไปยังซอฟต์แวร์เวนเดอร์แล้ว แต่ยังมิได้ทำการแก้ไขช่องโหว่เหล่านั้นให้เป็นที่เรียบร้อยแต่อย่างใด

ผู้เชี่ยวชาญของแคสเปอร์สกี้ แลปเคยตรวจจับการส่งอีเมลแบบสเปียร์ฟิชชิ่งที่มีเอกสารในฟอร์แมท OLE2 ในช่วงที่กำลังทำการสืบสวนการโจมตีแบบมีเป้าหมาย FreakyShelly อยู่ (ฟอร์แมทแบบนี้ใช้เทคโนโลยี Object Linking และ Embedding ที่ช่วยบรรดาแอพทั้งหลายในการสร้าง compound documents ที่ภายในมีข้อมูลจากแหล่งที่ต่างกัน รวมทั้งที่มาจากอินเตอร์เน็ตด้วย) จากการดูคร่าวๆ พบว่าตัวไฟล์นั้นมิได้ดูน่าสงสัยหรือไม่น่าวางใจแต่อย่างใด เป็นไฟล์ที่มีเซ็ตคำแนะนำวิธีการใช้กูเกิ้ลเสิร์ชเอ็นจิ้นให้ได้ประโยชน์สูงสุดที่ดูเป็นประโยชน์ดีอยู่ แต่ไฟล์กลับแฝง exploits หรือแมคโครไม่ดีที่ไม่เป็นที่รู้จักอยู่ด้วย และเมื่อศึกษาพฤติกรรมของไฟล์เอกสารเช่นนี้พบว่า เมื่อเปิดไฟล์เอกสาร จะทำการส่ง GET รีเควสต์เฉพาะ ไปหาเว็บเพจที่อยู่ภายนอกองค์กร ซึ่งเป็น GET รีเควสต์ที่มีข้อมูลเกี่ยวกับบราวเซอร์ และเวอร์ชั่นของระบบปฏิบัติการ ข้อมูลซอฟต์แวร์ที่อยู่บนเครื่องหรืออปุกรณ์ที่เปิดไฟล์เอกสารนั้นที่ได้ตกเป็นเหยื่อไปแล้ว ปัญหาของคุณก็คือเว็บเพจที่เอกสารได้ส่งรีเควสต์ไปนั้นไม่ใช่ที่ที่จะต้องส่งรีเควสต์ไปเสียหน่อย

การวิจัยเพิ่มเติมของแคสเปอร์สกี้ แลปพบว่าสาเหตุที่การคุกคามเช่นนี้ได้ผล เพราะวิธีการประมวลผลข้อมูลเทคนิคอลขององค์ประกอบที่อยู่ในไฟล์และการเก็บข้อมูลนั่นเอง ไฟล์เอกสารแต่ละไฟล์จะประกอบด้วยเมตาดาต้าเฉพาะตัว เช่น สไตล์, เท็กซ์โลเคชั่นและต้นทาง, รูปภาพประกอบในเอกสาร (ถ้ามี) มาจากที่ใด และพารามิเตอร์แวดล้อมอื่นๆ เป็นต้น เมื่อเปิดไฟล์ขึ้น ออฟฟิศแอพพลิเคชั่นจะอ่านค่าเหล่านี้ จากนั้นสร้างแปลน หรือ “map” โดยอิงค่าพารามิเตอร์เหล่านี้ อาทิ ค่าที่ชี้ไปยังโลเคชั่นของภาพในไฟล์เอกสาร ซึ่งเป็นช่องทางที่มิจฉาชีพไซเบอร์จะเปลี่ยนโค้ดและส่งรายงานกลับไปยังเว็บเพจของผู้กระทำการนั่นเอง

แม้ว่าฟีเจอร์ที่ถูกค้นพบนี้จะไม่ใช่ตัวเปิดฉากโจมตีของมัลแวร์ แต่ก็มีอันตรายมาก เพราะเป็นตัวที่สนับสนุนการคุกคามโดยที่ยูสเซอร์เจ้าของเครื่องไม่ต้องกดปุ่มหรือทำอะไรเลย แถมยังแพร่กระจายสู่คนหมู่มากได้ทั่วโลกด้วยช่วงระยะเวลาอันสั้น ด้วยความที่ซอฟต์แวร์เอกสารที่ว่านี้เป็นที่นิยมใช้กันทั่วไปนั่นเอง ยังดีที่ ณ ตอนนี้เราพบว่ามีการใช้ฟีเจอร์นี้เพียงครั้งเดียว แต่น่ากังวลใจมากเพราะว่าฟีเจอร์นี้ตรวจจับได้ยาก จึงพอคาดเดาได้ว่าพวกมิจฉาชีพไซเบอร์คงจ้องหาทางใช้เทคนิคนี้อยู่ในอนาคตอันใกล้แน่นอนอเล็กซานเดอร์ ลิสคิน ผู้จัดการกลุ่ม Heuristic Detection Group แคสเปอร์สกี้ แลป กล่าว

ผลิตภัณฑ์ของแคสเปอร์สกี้ แลปตรวจจับและบล็อกกั้นการคุกคามได้ด้วยการใช้เทคนิคต่อไปนี้ และเพื่อช่วยลดอัตราการตกเป็นเหยื่อของฟีเจอร์ดังที่กล่าวมาแล้ว ต่อไปนี้เป็นคำแนะนำของผู้เชี่ยวชาญจากแคสเปอร์สกี้ แลป:

  • หลีกเลี่ยงการเปิดอีเมลที่ส่งมาจากแอดเดรสที่ไม่รู้จักคุ้นเคย และหลีกเลี่ยงการเปิดเอกสารที่แนบมากับอีเมลนั้นๆ
  • ติดตั้งใช้โซลูชั่นเพื่อความปลอดภัยที่ไว้วางใจได้ มีความเสถียร สามารถจะตรวจจับการคุกคามดังกล่าวได้ อาทิ โซลูชั่นจากแคสเปอร์สกี้ แลป

Related posts:

ผนังแบบอินเตอร์แอ็กทีฟ ช่วยกระตุ้นนักออกกำลัง
ค้นหาผู้ก่อการร้ายจากการชูนิ้ว Victory Sign
The Field Trip To Mars เที่ยวดาวอังคารด้วยรถบัส Virtual Reality
ม.โปลีเทคนิค ฮ่องกง ก้าวสู่มหาวิทยาลัยดิจิตอล ด้วยเทคโนโลยีจาก Huawei
CAT MAGAZINE นิตยสารไอที สไตล์ทันสมัย ตอบโจทย์การดำเนินธุรกิจและใช้ชีวิตในยุคดิจิทัล ฉบับที่ 50 ประจ...
ความคืบหน้าเกี่ยวกับ 5G และการเติบโตของการขยายโครงข่าย Cellular IoT
Top
ปิดโหมดสีเทา