Internet je mjesto odakle možemo saznati, pročitati i naučiti raznorazne i vrlo korisne stvari. No isto, ako nismo oprezni, internet može biti i vrlo opasno mjesto, čemu svjedoče česta otkrića novih i novih vrsta štetnih programa. Jedan od najnovije otkrivenih štetnih programa koji napada računala koja u sebi imaju Windows OS je ”Aggah”.
Radi se o malwareu koji se sastoji od trojanske skripte koja se proširuje preko zaražene MS Word datoteke. Počinitelji varaju korisnike na način da korisnik sa interneta skine i nakon toga aktivira štetni kod koristeći RevengeRAT. S obzirom na to da se RevengeRAT sastoji od nekoliko ”open source” trojanskih kodova ono što je vrlo teško jest odrediti tko je pravi ”počinitelj”. Nadalje, hakeri koji koriste ovaj štetni program koriste i svoja ”alias” imena (kao što su ”haggah”) kako bi prevarili korisnike i natjerali ih da skinu zaražene datoteke.
Na koji način ”Aggah” funkcionira?
”Aggah” štetni program napada na specifičan način koji se može podjeliti u tri glavna koraka:
- Korisnik dobiva elektroničku poruku naslovljenu na ”Activity.doc”.
- Korisnika dobiva naputak za omogućavanje sadržaja poruke čime se zapravo pokreće štetni program.
- Shell naredba preusmjerava korisnika na Blogspot stranicu odakle se zapravo skida štetna skripta.
Štetni program djeluje i radi na vrlo diskretan način. Osim toga, velik broj koraka koji dovode do pokretanja štetnog programa pokreću se putem macro naredbi.
Ranjvost koji ”Aggah” iskorištava
”Aggah” je vrsta štetnog programa koji napada MS Word, odnosno tekstualne datoteke. Na koji način to ovaj štetni program čini? Ako je došlo do zaraze, u Microsoft Open Office XML programu dokumenti starijih formata (.doc ili .ppt) će biti zamijenjeni novim XML formatima (odnosno .docx i .pptx). Open Office XML datoteke će biti sastavljene od ZIP arhiva koji će biti zazvani ”Parts” (oni su odgovorni za renderiranje dokumenata kada su oni otvoreni).
Renderiranje dijelova se regulira svojstvima ili ”Properties’ kojem se može ostvariti i mrežni pristup’. Svaki puta kada se takav dokument otvori ili raspakira to ostavlja prostora hakerima za učitavanje štetnih skripti koje zamjenjuju pravi dokument. Štetne skripte se ubacuju u dokument putem Template ubacivanja.
”Aggah” je štetan i sama pomisao da ovaj štetni program može zaraziti MS Word dokumente daje nam dodatne razloge za zabrinutost. No koji su da tako kažemo ”primarni” ciljevi ”Aggah” štetnog programa?
Zasad je otkriveno kako je ”Aggah” najviše usmjeren protiv financijskih institucija, tijela državne uprave, obrazovnih institucija, agencija za oglašavanje, i sl. Ovo nalaže da ”obični” korisnici nisu toliko ugroženi (barem ne zasad).
Kako možemo ostati sigurni?
Jedna od mjera sigurnosti koja se preporučuje ne bi li korisnici ostali zaštićeni od ”Aggah” prijetnje jest neotvaranje datoteka koje su naslovljene pod ”Activity.doc”. Osim toga stručnjaci savjetuju korisnicima neka ne omogućuju unutar MS Worda opciju ”content”.
Svaki dokument kojeg je korisnik dobio treba otvoriti programima kao što su Office 365 iz razloga što macro naredbe u programu kao što je Office 365 ne mogu biti omogućene. Dvostruko provjeravanje odakle je pošiljka stigla te skeniranje svake datoteke i dokumenta prije nego što ih skinemo na svoja računala još su jedan način zaštite o kojem treba voditi računa.
Piše: I.H.