Microsoft VSTO përdoret për të shpërndarë malware

Ekspertët e Deep Instinct kanë zbuluar një metodë tjetër të përdorur nga kriminelët kibernetikë për të shpërndarë malware përmes aplikacioneve të Office. “Vektori i sulmit” i ri është Microsoft Visual Studio Tools for Office (VSTO). Në thelb është një alternativë për makrot VBA. Zgjidhjet kryesore të sigurisë janë në gjendje të bllokojnë këtë lloj kërcënimi.

Malware i shpërndarë me Microsoft VSTO
Siç dihet, makro VBA janë një nga mjetet e preferuara të shpërndarjes së malware. Microsoft më në fund vendosi të bllokojë ekzekutimin e tyre në dokumentet e shkarkuara nga Interneti, kështu që kriminelët kibernetikë filluan të përdorin metoda të tjera, duke përfshirë arkivat ZIP/RAR dhe imazhet ISO që përmbajnë skedarë LNK. Një alternativë më e fundit përfaqësohet nga VSTO.

Visual Studio Tools për Office, të përfshira në mjedisin popullor të zhvillimit, ju lejon të krijoni shtesa për grupin e produktivitetit, d.m.th. shtesa që mund të ekzekutojnë kodin në kompjuterin tuaj. Shtesat VSTO, të cilat funksionojnë kur nisni Word, Excel dhe aplikacione të tjera, mund të përfshihen në dokumente ose të shkarkohen nga një server në distancë.

Qasja e parë (lokale) preferohet nga kriminelët kibernetikë, pasi u lejon atyre të anashkalojnë mekanizmat e sigurisë. Kur viktima që nuk dyshon hap dokumentin, ai nuk sheh asnjë paralajmërim rreziku, vetëm një kërkesë për të instaluar shtesën. Në rastin e ekzaminuar nga Deep Instinct, ekzekutohet një skrip PowerShell i cili kontakton një server në distancë (ngarkesa përfundimtare nuk dihet sepse serveri ishte jashtë linje në kohën e analizës).

Për të demonstruar se si funksionon, studiuesit postuan një provë të konceptit në GitHub që shkarkon trojanin Meterpreter. Është krijuar vetëm për qëllime akademike, kështu që përdoruesit nuk duhet ta përdorin atë edhe nëse zbulohet nga Microsoft Defender dhe antivirus të tjerë.


This is a companion discussion topic for the original entry at https://zero1.al/2023/02/06/microsoft-vsto-perdoret-per-te-shperndare-malware/