Pažljivo sa MS Word dokumentima koje primate putem elektronske pošte

Pažljivo sa MS Word dokumentima koje primate putem elektronske pošte

Prošle nedelje je objavljena informacija o bezbednosnom propustu koji se nalazi u svim Microsoft Office paketima (uključujući i Office 2016) koji može da ugrozi sve Windows operativne sisteme (uključujući i Windows 10).

Ovu ranjivost mogu da iskoriste (i koriste, jer su prvi napadi zabeleženi još u januaru) hakeri kako bi Vaš računar zarazili različitim malverima.

Pozadina

Bezbednosni propust su pre par nedelja otkrili bezbednosni stručnjaci iz kompanija McAfee i FireEye, i oni su zajedno sa Microsoftom pokušavali da reše problem, sa dogovorom da se ne obaveštava javnost sve dok Microsoft ne ispravi grešku i objavi zakrpu. Međutim, kompanija McAfee je prošle nedelje izdala i saopštenje o problemu.

Kako to hakeri koriste?

Haker "pakuje" maliciozni kod u RTF fajl (sa ekstenzijom .doc u kome je sakrivena skripta pisana u Visual Basic-u) i šalje ga žrtvi putem elektronske pošte. Kada žrtva otvori zaraženi Word dokument, skripta se pokreće i konektuje se na napadačev server sa koga skida fajl koji će se automatski pokrenuti, a pomoću koga napadač dobija pravo da izvršava ili pokreće bilo koji program na žrtvinom računaru.

Nakon ovoga, otvoreni zaraženi Word dokument se zatvara, a otvara se novi sa nekim lažnim sadržajem, naravno novi dokument je sasvim ispravan - u tom trenutku je žrtvin računar već zaražen sa nekom vrstom malvera.

Više o ovome pročitajte u obaveštenju FireEye-a.

Najnoviji tragovi govore da se na ovaj način distribuira trenutno najopasniji bankarski malver Dridex, koji nadgleda žrtvin računar u potrazi za bankarskim transakcijama i krade žrtvine podatke o transakcijama (brojevi računa i sl).

Kako se ponašati da se ne postane žrtva ovog napada?

Jednostavno - ne treba otvarati MS Word dokumente koji su nam stigli na elektronsku poštu od nepoznatih ljudi. Najčešće adrese sa kojih ovi napadi dolaze su oznaćene kao [copier]@vaš.domen ili [documents]@vaš.domen ili [no-replay]@vaš.domen ili [scanner]@vaš.domen.

Gde je vaš.domen  domen web lokacije koja vam služi za prijem elektronske pošte (npr gmail.com).

Takođe, ovaj napad je neuspešan ukoliko ste podesili Office da koristi "Protected View".

Očekuje se da će Microsoft ove nedelje izbaciti zakrpe za svoje Office proizvode, kako bi se opasnost od ovakvih stvari svela na minimum.