Kaspersky Lab uzmanları, saldırganların hedefli saldırıları başarılı bir şekilde faaliyete geçirmek için kullandıkları popüler belge-oluşturma yazılımında bir özellik keşfetti. Basit bir ofis belgesi açıldığında etkinleştirilen kötü niyetli bir uygulama, kurbanın cihazına yüklenen yazılım aracılığıyla bilgileri, kullanıcı etkileşimi olmadan otomatik olarak saldırganlara gönderiyor. Bu veriler, saldırganların hedeflenen aygıtı hacklemek için kurbanlardan nasıl yararlanmaları gerektiğini anlamalarını sağlıyor.
Bu süreçte belgenin hangi cihazda açıldığı önemli değil. Saldırı tekniği, popüler metin işleme yazılımının masaüstü ve mobil sürümleri üzerinde çalışıyor. Kaspersky Lab, araştırmacılarının FreakyShelly adını verdiği ve en az bir siber casus tarafından kullanılan bu profilleme yöntemini gözlemledi. Kaspersky Lab sorunu yazılım sağlayıcısına bildirdi ancak henüz tam olarak düzeltilmedi.
Kaspersky Lab uzmanları, bir süre önce FreakyShelly hedefli saldırıları araştırılırken, OLE2 formatındaki belgelerin “spear-phishing” postası gönderdiğini tespit etti (Bunlar, Nesneye Bağlanma-Object Linking ve Yerleştirme-Embedding teknolojisini kullanarak, uygulamaların internetten çeşitli kaynaklardan gelen bilgileri içeren bileşik belgeler oluşturmasına yardımcı oluyor). Bununla birlikte, belgenin hareketi derinlemesine incelendiğinde, belgenin açılmasıyla birlikte yabancı bir web sayfasına belirli bir GET isteği gönderdiği görüldü. GET isteğinde, aygıtta kullanılan tarayıcı, işletim sisteminin sürümü ve saldırıya uğramış aygıta yüklenen diğer yazılımlarla ilgili bilgiler yer alıyordu. Sorun ise uygulamanın bu web sayfasına herhangi bir istek göndermemesi gerektiğiydi.
Birçok Kaspersky Lab araştırması, belgenin öğeleri hakkındaki teknik bilginin işlenmesi ve depolanması odağında saldırının işe yaradığını gösteriyor. Her bir dijital belge, stili, metin konumu ve kaynağı hakkında, belgeler için resimlerin (eğer varsa) tutulması gereken diğer meta verileri ve parametreleri içerir. Ofis uygulaması açıldığı anda bu parametreleri okur ve bunları harita olarak kullanarak belgeleri oluşturur. Kaspersky Lab araştırmacılarının ortaya koyduğu sonuçlar, belgede kullanılan resimlerin yerini belirten parametrenin, saldırganlar tarafından karmaşık kod manipülasyonları ile değiştirildiğini ve belgeyi, tehdit unsuru içeren web sayfasına yönlendirdiğini gösteriyor.
Kaspersky Lab Sezgisel Tespit Grubu Yöneticisi Alexander Liskin, “Bu özellik kötü amaçlı bir saldırıyı harekete geçirmese de, etkilenen yazılımın çok popüler olması sebebiyle kullanıcıyla neredeyse sıfır etkileşim gerektirdiği ve dünyanın dört bir yanındaki birçok kişiye erişebilen kötü niyetli bir eylemi desteklediği için tehlikeli… Şimdiye kadar bu özelliğin tek bir örnekte kullanıldığını gördük. Bununla birlikte, tespit edilmesi gerçekten zor olduğu göz önüne alındığında, daha fazla siber tehdit unsurunun bu tekniği gelecekte kullanmaya başlamasını bekliyoruz” dedi.