Οι Malware προγραμματιστές έχουν βρει μια μέθοδο macro-like μόλυνσης η οποία καταχράται το σύστημα Ενσωμάτωσης OLE της Microsoft για να ξεγελάσουν τους χρήστες να τρέξουν κακόβουλα scripts.

Το σύστημα OLE object είναι μια αποκλειστική τεχνολογία της Microsoft που χρησιμοποιείται σε ορισμένα από τα προϊόντα λογισμικού της εταιρείας, η οποία επιτρέπει στους χρήστες να ενσωματώσουν ή να συνδέσουν σε διάφορους τύπους περιεχομένου στο εσωτερικό του εν λόγω λογισμικού (software).

Οι χρήστες συνήθως χρησιμοποιούν το OLE για να ενσωματώσουν περιεχόμενο Flash, γραφήματα, εικόνες, και πολλά άλλα. Ένα από τα αντικείμενα που οι χρήστες μπορούν να ενσωματώσουν είναι VBScript ή κώδικα JavaScript.

Η συγκεκριμένη malware εκστρατεία αξιοποιεί Office docs με κακόβουλο OLE.

Η Microsoft δήλωσε ότι, στα τέλη Μαΐου, τα προϊόντα ασφαλείας της ξεκίνησαν να “μαζεύουν” κακόβουλα έγγραφα που είχαν επισυνάψει στα ανεπιθύμητα μηνύματα ηλεκτρονικού ταχυδρομείου που χρησιμοποιούν OLE objects.

Οι χρήστες που έλαβαν και ανοίξανε τα συγκεκριμένα αρχεία, εμφανίστηκε ένα γνωστό μήνυμα που έχε φανεί σε πολλές macro malware εκστρατείες.

Οι απατεώνες έλεγαν στους χρήστες ότι το αρχείο απαιτεί”ανθρώπινο έλεγχο» και ότι θα πρέπει να κάνουν διπλό κλικ στο μεγάλο εικονίδιο στο κέντρο του εγγράφου.

Όταν οι χρήστες διπλό κλικ στο εικονίδιο του, σύμφωνα με τις οδηγίες, θα εμφανιστεί ένα αναδυόμενο παράθυρο ζητώντας τους αν ήθελαν να τρέξει το αντικείμενο, το οποίο σε αυτή την περίπτωση θα μπορούσε να είναι είτε ένα JavaScript ή ένα αρχείο VBScript.

Και οι δύο γλώσσες προγραμματισμού υποστηρίζονται πολύ καλά στα Windows και να έχουν πρόσβαση σε ισχυρές system-level εντολές .

Για τη συγκεκριμένη καμπάνια, τα κακόβουλα scripts κατεβάζουν έναν κρυπτογραφημένο δυαδικό. Τα scripts, επίσης, κατάφεραν να παρακάμψουν προστασίες που βασίζονται σε δίκτυο ειδικά σχεδιασμένο να ανιχνεύει κακόβουλες μορφές δεδομένων.

Τα scripts στη συνέχεια αποθηκεύουν τον κρυπτογραφημένο δυαδικό στο δίσκο, αποκρυπτογραφούνται το περιεχόμενό του, και το εκτελούν.

Αυτά τα δύο malware , έχουν σχεδιαστεί με μοναδικό σκοπό να πάρουν μια αρχική βάση και στη συνέχεια να κάνουν λήψη ενός πιο ισχυρού malware. Η Microsoft λέει ότι, στην περίπτωση αυτή,το τελικό payload ήταν η ransomware CERBER.

Η Microsoft έχει δημοσιεύσει οδηγίες για το πώς να αποφύγετε το μολυσμένο με κακόβουλο λογισμικό (malware) μέσω κακόβουλων αντικείμενων OLE. Τις οδηγίες μπορείτε να τις βρείτε πατώντας εδώ.