Hakerzy opracowali nową metodę ataków phishingowych

Atak po raz pierwszy został zarejestrowany w przeddzień Walentynek i polegał na dostarczaniu do użytkowników wiadomości e-mail zawierających załącznik w formacie .docx, zawierający linki do złośliwej strony www, której celem było przechwycenie poufnych danych. Atak ten otrzymał nazwę NoRelationship. Za jego pomocą cyberprzestępcy zyskują możliwość ominięcia mechanizmu filtrowania Microsoft Exchange Online Protection (EOP), którego rolą jest skanowanie dokumentów pakietu Office (w tym plików .docx, .xlsx i .pptx) i powiadamianie użytkowników o wykryciu szkodliwej zawartości. Hakerzy przeprowadzający akcję phishingową mogą ukrywać złośliwe linki, dzięki lukom w rozwiązaniach do skanowania poczty e-mail związanym z analizowaniem przychodzących linków.

W celu ominięcia szkodliwych filtrów adresów URL, atakujące osoby usuwają zewnętrzne łącza znajdujące się w pliku xml.rels, stanowiącego plik relacji z XML Open Office. Odpowiada on za przechowywanie listy łączy z otrzymanych przez użytkownika załączników, dołączonych do wiadomości mailowych. Hakerzy wykorzystują w tym przypadku lukę w zabezpieczeniach, polegającą na tym, że narzędzia do analizowania linków nie zawsze skanują dokument w całości, lecz skupiają się wyłącznie na analizie łączy w pliku xml.rels. Usunięcie z tego pliku szkodliwych linków pozwala sprawić, że stają się one niewidoczne dla mechanizmu filtrowania.

Jak zauważyli specjaliści z firmy Avanan, problem ten nie dotyczy jedynie mechanizmów bezpieczeństwa wbudowanych w oprogramowanie Office, lecz także skanerów F-Secure czy ProofPoint. One również nie były w stanie zidentyfikować szkodliwych linków. Metoda obejścia systemów bezpieczeństwa jest zawodna jedynie w przypadku zabezpieczeń Mimecast Link Analyzer oraz Microsoft Advanced Threat Protection (ATP).