Tietoturvayhtiö Sophoksen tutkijat ovat havainneet uuden hyökkäysmenetelmän, jossa haittaohjelma voi päästä iskemään sähköpostiviestin kautta ilman, että käyttäjän pitää avata liite tai käynnistää makrotoiminto.
Hyökkäys perustuu Microsoftin Dynamic Data Exchange -toimintoon (DDE), jonka kautta haittaohjelma voidaan suorittaa. Sophos havaitsi, että DDE-hyökkäys voidaan tehdä Microsoft Outlookin viestillä tai kalenterikutsulla, jotka ovat Microsoft Outlookin rtf-tiedostomuodossa (rich text format).
Kun käyttäjä saa haitallisen rtf-muotoisen sähköpostiviestin, DDE-hyökkäys käynnistyy, jos käyttäjä valitsee ”Vastaa” tai ”Vastaa kaikille”.
Lue myös: Mitä on malware?
Näin vältät DDE-hyökkäyksen
Kyse ei ole haavoittuvuudesta, vaan hyökkäys perustuu siihen, että käyttäjä epähuomiossa kuittaa turhalta vaikuttavan varoituksen.
Sen jälkeen, kun käyttäjä on valinnut vastaamisen viestiin, esiin tulee vielä kaksi varoitusikkunaa. Hyökkäys epäonnistuu, kun vastaa jompaankumpaan varoitusikkunaan ”Ei”.
Viestin edelleen lähetys ei käynnistä hyökkäystä, mutta vastaanottaa saa eteensä samat kaksi varoitusikkunaa, jos hän valitsee viestiin vastaamisen.
Pari viikkoa sitten havaittiin DDE-hyökkäyksen versio, jossa huijausviestin liitteenä tuleva Microsoft Office -asiakirja voi käynnistää DDE-hyökkäyksen, ilman että siihen tarvitaan makrokomentoa. Myös tämä hyökkäys epäonnistuu, jos käyttäjä vastaa jompaankumpaan varoitusikkunaan ”EI”.
Sophos kertoo, että uutta DDE-hyökkäystä, jossa ei käytetä liitteitä vaan haittakoodi on suoraan rtf-muotoisessa sähköpostiviestissä, ei ole vielä havaittu laajalti.
Terve järki, epäluulo ja kaksi muistettavaa asiaa auttavat pitämään haitakkeet loitolla:
- Älä avaa liitettä, ellet tunne lähettäjää
- Älä ohita varoitusta, ellet tiedä mistä on kyse