Hakeri su dosad zlonamerni kod ugrađivali u makronaredbe (naredbe koje automatski vrše nekoliko specifičnih akcija), što su korisnici morali samostalno da odobre. To je ujedno bila i najslabija tačka zlonamernog koda — ako korisnik nije odobrio izvršavanje makronaredbe, nije izvršen ni kod.
Novi napad ne koristi makronaredbe, već se izvršava u pozadini čim korisnik, odnosno „žrtva“, otvori dokument.
Naime, ovaj napad koristi propust u sistemu Majkrosoft ofis, za koji je Majkrosoft objavio „zakrpu“ još prošle godine. Ali nju nisu svi instalirali.
Korisnici koji imaju omogućeno automatsko ažuriranje Ofis paketa, kao i oni koji su instalirali zakrpu za propust Office Equation Editor (CVE-2017-11882), mogu da budu mirni.
Ostali bi trebalo da obrate pažnju na „čudne“ imejlove s naslovima poput „TNT Statement Of Account“, „Request for Quotation“, „Telex Transfer Notification“, „Swift Copy for Balance Payment“ i sličnim finansijskim naslovima.
Takve poruke u sebi sadrže dodatak „receipt.docx“ ili „receipt.rtf“ koji je zapravo zaražen malicioznim kodom.
Iz „Spajder labsa“ ističu da, upravo zbog činjenice da hakeri ovaj put koriste „.docx“ i „.rtf“ formate, mogu da izbegnu klasične zaštitne mere i dođu do većeg broja „žrtava“.
Zato, pre nego što kliknete i otvorite neki dokument u imejlu, proverite da li ga je zaista poslao legitimi pošiljalac s kojim inače komunicirate.
I, naravno, ažurirajte Ofis.
