Office-gebruikers doelwit van malafide ODT-bestanden

[Captain Kirk]

Gebruikers van LibreOffice, Microsoft Office en OpenOffice zijn het doelwit van malafide ODT-bestanden die malware proberen te installeren, zo waarschuwen onderzoekers van Cisco. ODT (OpenDocument Text) is de bestandsextensie voor tekstdocumenten binnen het Open Document Format (ODF)

Het is eigenlijk een zip-bestand met daarin xml-gebaseerde bestanden. Onlangs ontdekte Cisco drie aanvalscampagnes waarbij malafide ODT-bestanden werden ingezet. Waarschijnlijk is er bewust voor ODT gekozen om detectie door beveiligingssoftware te omzeilen. De eerste twee campagnes waren gericht tegen Microsoft Office, de derde campagne tegen gebruikers van LibreOffice en OpenOffice.

Bij de eerste twee aanvallen moesten gebruikers op een embedded object in het document klikken en vervolgens een beveiligingswaarschuwing negeren. Hierna werd er een remote administrative tool (RAT) gedownload die de aanvallers volledige controle over het systeem van de gebruiker gaf. De aanval tegen LibreOffice en OpenOffice maakte gebruik van een soort macro's om code te downloaden en uit te voeren. Veel details over deze aanval ontbreken. Mogelijk dat het onderdeel van een penetratietest uitmaakte, maar ook het gebruik door aanvallers wordt niet uitgesloten.

"Door bekende platformen aan te vallen vergroten aanvallers hun kans om toegang tot machines te krijgen. En het gebruik van het ODT-bestandsformaat laat zien dat aanvallers graag nieuwe infectiemechanismes proberen, mogelijk om te zien of deze documenten voor meer infecties zorgen of beter in staat zijn om detectie te omzeilen", aldus Cisco-onderzoeker Warren Mercer, die toevoegt dat sommige virusscanners en sandboxes niet goed met ODT-bestanden omgaan.

 

 

bron: security.nl