Những kẻ tấn công có một kỹ thuật obfuscation (kỹ thuật làm rối code) mới, sử dụng định dạng tệp OpenDocument để vượt qua các phần mềm chống vi-rút.
Các cuộc tấn công dựa trên quy mô lớn trong quá khứ đã dựa vào các phần mềm độc hại được tiêm nhiễm vào những tệp định dạng .docx, .zip, .jar và nhiều định dạng tệp khác. Nhưng các nhà nghiên cứu tại Cisco Talos cho biết vì những nỗ lực này gần như chắc chắn được gắn cờ đỏ bởi ứng dụng bảo vệ điểm cuối, tin tặc đang chuyển sang định dạng OpenDocument (ODT) để tránh bị phát hiện.
Các nhà nghiên cứu Warren Mercer và Paul Rascagneres tại Cisco Talos đã viết trong báo cáo gần đây nhất: “Việc sử dụng định dạng tệp ODT cho thấy những kẻ tấn công rất hào hứng khi thử nghiệm các cơ chế lây nhiễm khác nhau, có lẽ trong nỗ lực xem liệu các tài liệu này có tỷ lệ lây nhiễm cao hơn hay khả năng tránh bị phát hiện cao hơn”.
Các chuyên gia cho biết một số công cụ AV (diệt virus – anti virus) và sandbox hệ thống không xử lý các định dạng tệp ODT này với các phương pháp thích hợp, và khiến chúng bị bỏ qua trong một số trường hợp.
Báo cáo cho biết: Gần đây, có nhiều chiến dịch phần mềm độc hại sử dụng loại tệp này có thể tránh sự phát hiện của các công cụ diệt vi-rút, do thực tế là các công cụ này xem các tệp ODT là lưu trữ tiêu chuẩn và không áp dụng các quy tắc giống như thông thường đối với tài liệu Office.
Mercer và Rascagneres cho biết vì điều này, kẻ tấn công có thể sử dụng các tệp ODT để lây nhiễm phần mềm độc hại thường bị chặn bởi những phần mềm diệt vi-rút truyền thống.
Trong các trường hợp được ghi lại, trong đó các tệp ODT đã được sử dụng thành công trong các cuộc tấn công, phần lớn các sự cố liên quan đến Microsoft Office, trong khi OpenOffice và LibreOffice được nhắm mục tiêu ở mức độ thấp hơn.
Các trường hợp ví dụ
Trong một ví dụ được Cisco Talos nhấn mạnh, những kẻ tấn công đã sử dụng tệp ODT độc hại được tích hợp Object Linking và Embedding (OLE) file. Các tệp OLE được sử dụng để tích hợp hoặc liên kết các tài liệu với nhau để chia sẻ dữ liệu giữa các ứng dụng. Tiếp theo, ODT đã sử dụng OLE tích hợp để kích hoạt tập lệnh Ứng dụng HTML (HTA) thành hành động. Tập lệnh HTA đã tải xuống công cụ quản trị từ xa (RAT - remote administrative tool) có tên NJRAT.
Kịch bản tấn công liên quan đến việc người nhận email độc hại, nhấp đúp vào tệp đính kèm và cấp quyền cho tài liệu để chạy, trong khi cảnh báo cho người dùng loại tệp tin có thể không an toàn.
Các nhà nghiên cứu cũng chia sẻ một trường hợp ví dụ thứ hai, trong đó đối tượng OLE được đóng gói tương tự bên trong tệp ODT và phân phối phần mềm độc hại. Giống như ví dụ trước, điều này cần có sự tương tác của người dùng.