چگونه فروشندگان بدافزارها کاربران خود را از طریق فعال‌سازی ماکروهای آفیس فریب می‌دهند

یک هفته پیش Xavier Mertens ناظر و مشاور مستقل امنیتی پروژه‌ی SANS ISC یک سند ورد محتوی ماکروی مخربی را مورد تجزیه و تحلیل قرار داد و در آن تابع یک VBA یافت که موجب تغییر طرح سند می‌گردید. او نمی‌دانست که چرا این سند شامل این تابع بود، اما یکی دیگر از ناظران پروژه خواست قربانیان بدانند که با باز کردن سند مذکور تابع موجود در آن موجب فعال‌سازی ماکرویی می‌شود که متن آن در سند قابل مشاهده است. Didier Stevens شرح می‌دهد: «یکی از محبوب‌ترین حقه-های مهندسی اجتماعی جهت اغواء کردن کاربران برای فعال‌سازی ماکروها، مطلع ساختن کاربر از داشتن راز و یا اطلاعات محرمانه در سند می‌باشد به شکلی که کاربر از فاش ساختن آن راز احساس خرسندی کند.»
پرونده‌ی ورد پیامی می‌دهد که محتوای اصلی آن پنهان است (رمزنگاری یا کدگذاری شده است) و کاربر جهت دیدن رمز نیازمند فعال‌سازی محتوا (یا ماکرو) می‌باشد. این تابع رنگ قلم را از سفید به سیاه تغییر می‌دهد (اطلاعات پنهان را آشکار می‌سازد.) و سرآیند یا Header را حذف کرده و کاربر را قادر به فعال‌سازی محتوای اصلی آن می‌کند. به طور مؤثری این تابع با فن‌‌آوری ساده‌ای کاربر را مجاب می‌کند که اتفاقی خارج از حالت عادی رخ نداده است، و حرکتی ساده وی را قادر به خواندن سند کرده است. در حالی‌که نمی‌داند یک بارگذار مخرب بارگیری شده و در پس‌زمینه در حال اجراست، و رایانه‌ی او به خطر افتاده است.

منبع: asis