Cách thức tấn công mới: Dấu macro độc hại vào tài liệu MHTML

Những tệp tin tài liệu có vẻ vô hại nhưng ẩn dấu macro độc hại thường được sử dụng rộng rãi bởi tội phạm công nghệ cao nhằm phát tán malware. Các nhân tố độc hại luôn tìm cách cải thiện phương pháp lẩn trốn của chúng nhằm né tránh bị phát hiện.

Nhà nghiên cứu bảo mật Bart Blaze vừa tìm thấy một email rác giả mạo đơn hàng chứa tài liệu Microsoft Word (.doc). Khi mở tài liệu ra, nếu chức năng macro không được bật, người dùng sẽ được hướng dẫn bật để xem nội dung bên trong. Nạn nhân sẽ thấy một hình ảnh và malware sẽ được tải ngầm về máy tính. Thật may mắn là macro mặc định vô hiệu hóa trong Microsoft Office.

Đính kèm nhân tố độc hại vào tài liệu không phải không phổ biến, nhưng mẫu phân tích của Blaze lại có một chút khác biệt. Tài liệu độc hại đó thực ra là một tệp tin MHTML (Multi-Purpose Internet Mail Extension (MIME) HTML). MHTML (.mht) là một dạng nén sử dụng để kết hợp HTML và  các nguồn dữ liệu khác (ví dụ ảnh, ứng dụng Java và hình động Flash).

Tệp tin MHTML độc hại chứa một đối tượng OLE (Object Linking and Embedding). Khi tệp tin được mở ra, một tệp tin VBS sẽ được tải về từ Pastebin và khởi chạy. Tệp tin này có nhiệm vụ tải tiếp malware. VirusTotal cho biết malware cuối cùng liên quan đến Trojan ngân hàng nổi tiếng Dyre.

Tin tặc luôn cập nhật malware với những kịch bản tấn công mới nhất. Người dùng nên kiểm tra kĩ càng email trước khi tải về những tệp tin đính kèm và không nhấn vào đường dẫn đáng ngờ.

securityweek