Stealthy OpenDocument Malware Deployed Against Latin American Hotels

มัลแวร์ OpenDocument ถูกใช้โจมตีโรงแรมใน Latin American

ในปลายเดือนมิถุนายน 2565 HP Wolf Security ได้ตรวจสอบแคมเปญการโจมตีจากมัลแวร์โดยใช้ไฟล์ OpenDocument (.odt) ในการแฝงตัวเพื่อแพร่กระจายมัลแวร์ โดย OpenDocument เป็นรูปแบบไฟล์ที่สามารถใช้ได้กับทั้ง Microsoft Office, LibreOffice และ Apache OpenOffice โดยแคมเปญนี้มุ่งเป้าไปที่อุตสาหกรรมโรงแรมในละตินอเมริกา ซึ่งโรงแรมเป้าหมายจะได้รับการติดต่อทางอีเมลพร้อมคำขอจองห้องพัก โดยจะมีเอกสารที่แนบมาเป็นเอกสารการลงทะเบียนของแขกที่จะเข้าพัก ซึ่งเป็นอีเมลปลอม

เอกสารดังกล่าวจะถูกส่งเป็นไฟล์แนบมากับอีเมล หากเหยื่อเปิดเอกสาร มันจะแสดงข้อความแจ้งว่ามีข้อมูลบางอย่างในเอกสารที่ต้องได้รับการอัปเดตให้เป็นข้อมูลล่าสุดจากไฟล์อื่นๆที่เกี่ยวข้อง ซึ่งหากเหยื่อกด 'Yes' จะมีการเปิดไฟล์ Excel อีกไฟล์หนึ่งขึ้นมา

หลังจากนั้น เหยื่อจะได้รับข้อความแจ้งเตือนอีกครั้งเพื่อถามว่าจะเปิดการใช้งานมาโครบนเอกสารหรือไม่ หากเหยื่ออนุญาตให้ใช้งานมาโคร ก็จะทำให้มัลแวร์ทำงานทันที ซึ่งจะนำไปสู่การติดตั้งเพย์โหลดของมัลแวร์ AsyncRAT ในที่สุด

การใช้ไฟล์ OpenDocument เพื่อแพร่กระจายมัลแวร์นั้นเป็นที่น่าสนใจ เนื่องจากไม่ค่อยพบการโจมตีด้วยมัลแวร์จากไฟล์ลักษณะนี้ และเอกสารที่ใช้ในแคมเปญครั้งนี้ยังไม่มี Antivirus Vendor รายใดสามารถตรวจจับได้ (ข้อมูลจาก VirusTotal ณ วันที่ 7 กรกฎาคม)

ไม่เหมือนกับเอกสารที่เป็นอันตรายประเภทอื่นๆ การวิเคราะห์ไฟล์ OpenDocument กลับไม่พบมาโครที่ซ่อนอยู่ อย่างไรก็ตาม Object Linking and Embedding (OLE) ที่อยู่ภายในเอกสารตามที่แสดงในไฟล์ styles.

Read more