تحقیقات جدید شرکت Deep Instinct نشان می‌دهد که هکرها با استفاده از ابزار VSTO بدافزارهایی را از طریق برنامه‌های آفیس روی سیستم قربانی‌ها منتشر می‌کنند.
 
به گزارش افتانا به نقل از Deep Instinct، ماکروهای Office Visual Basic for Applications (VBA) یک ابزار اصلی برای عوامل تهدید سایبری برای چندین دهه محسوب می‌شود.
 
قابلیت‌های این ماکروها عاملان تهدید باهوش را قادر می‌سازد تا مجموعه‌ای گیج‌کننده از بدافزار را به دستگاه‌های بی‌شماری در سراسر جهان ارائه کنند. در طی آن زمان، آن‌ها به عنوان رایج‌ترین عامل حمله برای آلوده کردن و به خطر انداختن رایانه‌های شخصی ویندوزی عمل کرده‌اند. آن‌ها همچنین به‌عنوان بخش مهمی از اولین پیوند در زنجیره کشتار مخرب عمل می‌کنند که منجر به آسیب‌های شبکه، نقض داده‌ها و حوادث باج‌افزار می‌شود.
 

با VSTO، یکی از ابزارهای توسعه نرم‌افزار در مجموعه Visual Studio IDE است که امکان ساخت افزونه (Add-in) برای برنامه‌های مختلف آفیس را در بستر .NET فراهم می‌کند.
 
با VSTO می‌توان فایل‌هایی را نیز ایجاد کرد تا در زمان باز شدن در برنامه‌های آفیس افزونه را نصب و اجرا کنند.
 
شرکت مایکروسافت از سال گذشته میلادی، محدودیت‌های سخت‌گیرانه‌ای را برای اجرای قابلیت ماکرو (Macro) در مجموعه نرم‌افزاری آفیس اعمال کرده است. هدف از این کار مقابله با آن دسته بدافزارهایی است که طریق قابلیت یادشده به دستگاه کاربران راه پیدا می‌کنند.
 
در نتیجه اعمال این محدودیت‌های مایکروسافت، اکنون، مدتی است که مهاجمان در حال روی آوردن به روش‌های جایگزین هستند. به‌کارگیری VSTO می‌تواند جایگزینی کارآمد برای مهاجمانی باشد که همچنان در پی انتشار بدافزارهای خود توسط فایل‌های آفیس هستند.
 
افزونه‌های مبتنی بر VSTO می‌توانند هم در یک فایل Office – نظیر docx – جاسازی و به صورت محلی (Local) اجرا شوند و هم می‌توانند به‌صورت از راه دور فراخوانی و در ادامه اجرا شوند.
 
اگر چه بسیاری از مهاجمان، اجرای Local را به جهت احتمال بیشتر در عبور از سد کنترل‌های امنیتی ترجیح می‌دهند اما شرکت Deep Instinct حملاتی را شناسایی کرده که در آن، از روش راه دور برای اجرای افزونه‌های مبتنی بر VSTO بهره گرفته شده است. نشانه این فایل‌ها (فایلی Office حاوی VSTO)، وجود پارامتر custom.xml است که برنامه Office را از مسیر افزونه آگاه می‌کند.
 

در این روش، معمولاً فایل Office همراه با متعلقات در قالب یک فایل ISO به قربانی ایمیل می‌شود. مهاجمان، برای عدم شناسایی فایل‌ها  توسط قربانی، ویژگی "Hidden" را بر روی آنها اعمال می‌کنند.
 
همان‌طور که در روش انتشار از طریق ماکرو شاهد بودیم مهاجمان سایبری با بهره‌گیری از تکنیک‌های مهندسی اجتماعی، محتوای فایل را به نحوی طراحی می‌کنند که قربانی متقاعد به فعال‌سازی قابلیت مورد نظر –اجرای افزونه – شود.
تصویر زیر، محتوای فایل custom.xml افزوده شده به فایل docx را نمایش می‌دهد که در آن به فایل افزونه اشاره می‌شود.
 
 در جریان یکی از بررسیها، افزونه مخرب اقدام به اجرای یک اسکریپت PowerShell رمزگذاری و فشرده‌شده بر روی سیستم می‌کرد.
 

روش Remote نیز مشابه با روش Local است؛ با این تفاوت که در فایل custom.xml آن به افزونه‌ای اشاره می‌شود که بر روی یک سرور از راه دور قرار دارد.
 
علاوه بر بهره‌گیری از راهکارهای امنیت نقاط پایانی، آموزش کاربران نقشی مؤثر در مقابله با این تهدیدات دارد.
 
منبع: Deep Instinct