اكتشف خبراء كاسبرسكي لاب ميزة كان المتسللون يستغلونها في برنامج إنشاء المستندات الشهير لاستهداف الضحايا. وأوضح خبراء عملاق أمن المعلومات الروسي أن المعلومات المتعلقة بالجهاز والبرامج المحملة عليه يتم إرسالها مباشرة إلى المتسللين باستخدام تطبيق ضار يتم تنشيطه عند فتح مستند “Office” عادي في البرنامج ، دون التفاعل مع الكمبيوتر. جزء من الذبيحة. تساعد هذه المعلومات المتسلل في تحديد طبيعة الهجمات المستقبلية التي يجب تنفيذها لخرق الجهاز المستهدف.
وأضاف الخبراء أن “طريقة الهجوم هذه تعمل على نسخة سطح المكتب والجوال من برنامج معالجة الكلمات الشهير”. لاحظت كاسبرسكي لاب هذه الطريقة في التعرف على الضحايا التي يستخدمها جاسوس رقمي واحد على الأقل ، وأطلق عليها باحثو الشركة اسم “فريكي شل”. تم إخطار مطوري البرنامج بهذه المشكلة ، لكن لم يتم إصلاحها بالكامل.
أثناء التحقيق في هجمات Freaky Shelly ، قام خبراء Kaspersky Lab بمراقبة رسائل إعلان الثقة بالبريد الإلكتروني التي تحتوي على ملفات OLE2 ، والتي تستند إلى تقنية الربط والتضمين ، والتي تساعد التطبيقات على إنشاء ملفات اصطناعية تحتوي على معلومات من مصادر متعددة ، بما في ذلك الإنترنت.
وبحسب الخبراء ، فإن نظرة سريعة على هذه الملفات لم تكن كافية لإثارة الشكوك ، حيث احتوت على نصائح مفيدة حول كيفية استخدام بحث جوجل بشكل صحيح ولم تحتوي على أي ثغرات أو برامج ضارة معروفة ، لكن فحص سلوك هذه الملفات كشف أنها أرسلت طلب GET خاص. عند فتح الملف ، يقوم باسترداد المعلومات ونقلها إلى الصفحة الخارجية. تضمن طلب المعلومات هذا معلومات حول متصفح الإنترنت المثبت وإصدار نظام التشغيل وبعض المعلومات حول البرامج الأخرى المثبتة على جهاز الضحية. كانت المشكلة أن الموقع الخارجي لم يكن من المفترض أن يرسل “المكتب” أية معلومات.
يُظهر البحث اللاحق الذي أجرته شركة Kaspersky Lab أن هذا الهجوم يعتمد على كيفية معالجة معلومات محتوى الملف وتخزينها. يحتوي كل ملف رقمي على بيانات أولية لتصميم الملف والمصدر وموقع النص ومصادر الصور ، إن وجدت ، وغيرها من المعلومات. عادة ، يقوم البرنامج بقراءة هذه البيانات وإرفاق ملف بها بمجرد فتحه ، باعتباره “خريطة دلالية”.
وأظهرت نتائج التحقيق الذي أجراه باحثو كاسبرسكي لاب أن المتسللين يمكنهم تعديل المعلمة المسؤولة عن تحديد مصادر الصور من خلال تعطيل برمجة الملف لجعله يرسل المعلومات أعلاه إلى الصفحة التي يتحكم فيها مصدر التهديد.
ألكسندر ليسكين ، مدير مجموعة الكشف عن مجريات الأمور في كاسبرسكي لاب ، اعتبر هذه الميزة خطيرة ، حتى لو لم تسبب هجمات في حد ذاتها ، بسبب ما قال إنه “دعمها لعمليات خبيثة محتملة” لأنها لا تتطلب تفاعل من نظرًا لشعبية البرنامج وانتشاره على نطاق واسع ، قال: “لقد رأينا حتى الآن مثالًا واحدًا فقط على هذه الميزة قيد الاستخدام ، لكننا نتوقع المزيد من المتسللين لاستخدامها في المستقبل ، نظرًا لمدى صعوبة اكتشافها. “
ينصح خبراء كاسبرسكي لاب المستخدمين بتجنب الوقوع ضحايا لهذه الهجمات ، أولها الامتناع عن فتح الرسائل المرسلة من عناوين مجهولة وعدم فتح أي مرفقات فيها ، والاعتماد على حلول أمنية مثبتة قادرة على وقف هذه الهجمات ، مثل كحلول حماية من شركة Kaspersky Lab.