นักวิจัยด้านความปลอดภัยของ Deep Instinct บริษัทด้านความปลอดภัยทางไซเบอร์ ค้นพบการโจมตีที่ใช้ Microsoft Visual Studio Tools for Office (VSTO) เพื่อแฝงตัว และเรียกใช้คำสั่งที่เป็นอันตรายบนเครื่องเป้าหมาย ผ่าน Add-in ของ Microsoft Office เข้าไปใน VBA macros ของไฟล์เอกสารเพื่อดาวน์โหลดมัลแวร์

นับตั้งแต่ Microsoft ได้ประกาศ Block การทำงานของ macro VBA และ XL4 เป็นค่าเริ่มต้น (default) เหล่า Hackers จึงต้องปรับเปลี่ยนวิธีการโจมตีเป้าหมายใหม่ ไม่ว่าจะเป็น ไฟล์ .ZIP, .ISO และ .LNK เพื่อแพร่กระจายมัลแวร์ รวมไปถึงการใช้ VSTO ในการสร้างมัลแวร์ที่ใช้ .NET และฝังลงใน Add-in ของ Microsoft Office

การโจมตีด้วย VSTO

Microsoft Visual Studio Tools for Office (VSTO) เป็นชุดพัฒนาซอฟต์แวร์ซึ่งเป็นส่วนหนึ่งของ Visual Studio IDE ของ Microsoft ซึ่งใช้ในการสร้างโปรแกรมเสริม และเป็นส่วนขยายสำหรับแอปพลิเคชัน Microsoft Office ที่สามารถสั่งรันโค้ดบนเครื่องได้

โดย Add-in เหล่านี้สามารถรวมเข้ากับไฟล์เอกสาร หรือดาวน์โหลดจากภายนอก และเริ่มการทำงานเมื่อเปิดใช้เอกสารด้วยเอป Microsoft Office ที่เกี่ยวข้องเช่น Word, Excel ซึ่ง Hacker จะใช้วิธีการ local VSTO ทำให้ไม่ต้องทำการหลบเลี่ยงการตรวจจับด้านความปลอดภัยเพื่อเรียกใช้คำสั่งเพิ่มเติม

นอกจากนี้นักวิจัยยังได้พบการโจมตีโดยใช้ VSTO add-ins จากภายนอกอีกด้วย โดยค้นพบจากพารามิเตอร์ "custom.