xpl0it
Senior Member
- Feb 21, 2014
- 124
- 88
Mbinu ya 'Mouseover' inategemea watumiaji (users) kuhover juu ya maandishi & picha zenye hyperlink, kwenye mafaili ya Microsoft PowerPoint ili kuingiza Trojan.
Shambulio la Mouse Hover
Wachunguzi wamefichua aina mpya ya shambulizi ambayo inatumia vibaya kitendo kile cha kuhover juu ya maandishi na picha zenye hyperlink kwenye presentation za Microsoft Powerpoint.
Wachunguzi wa Trend Micro wamegundua mbinu ya "mouseover", inayotumika naTrojan downloader. Downloader hiyo walioichambua inaingiza version ya OTLARD banking Trojan, akijulikana pia kwa jina la GootKit.
GootKit ilionekana mwanzoni kwenye 2012 na kukua katika Trojan inayoiba taarifa na remote access, persistence, kuchunguza network traffic na kuharibu mipangilio ya browser. Imekuwa kikawaida ikitumika kuiba nywila(passwords) na taarifa za muhimu za akaunti mbalimbali kutokea makampuni ya kiuchumi ya Ulaya.
Shambulio hili linafanyaje kazi?
Malware huyo anafika kama spam e-mail ikijifanya kama oda ya malipo au invoice yenye malicious PowerPoint Open XML Slide Show(PPSX), au PowerPoint Show(PPS) faili lililoatachiwa. Mafaili haya mawili yanatofauti na PowerPoint presentation files(PPT au PPTX), ambazo zinaweza kueditiwa. Faili la PPS au PPSX linafunguka moja kwa moja katika mode ya presentation.
Mara tu baada faili hilo kupakuliwa(downloaded) na kufunguliwa, inahitaji mawasiliano(interaction) na mtumiaji kufanya kazi. Hii inahusisha maandishi na picha zenye hover juu yake zililowekewa malicious link, inayoanzisha kitendo kile cha mouseover. Kutokea hapo, wanahitaji kuwezesha content iyo kufanya kazi wakishaona security alert.
Mbinu hii inalenga tu mafaili ya PowerPoint, ila inawezekana kusambaa kwenye documents nyingine za Microsoft Office kwa mda mfupi maana zote zinasupport mfumo mmoja.
Nini cha kufanya sasa ili kujizuia na shambulizi hili?
1) Kwa Web Filtering
-Hii ni kuzuia systems kutoweza kufika kwenye sites ambazo malware huyo amehifadhiwa.
2) Kwa kutumia Protect View
-Ambayo inawawezesha watumiaji wa Microsoft PowerPoint kusoma content zilizomo kwenye mafaili yake bila ya kuwepo nafasi ya kwao kudhuriwa.
3) Kwa wana IT na System Admins wanaweza kupunguza tishio hilo kwa kudisable macros, OLE na mouse hovers kwa kuzuia hizi features kwenye mashine zao au kutengeneza group policies zitakazo wablock watumiaji kuziwezesha.
Kama features kama mouse hover na macros ni muhimu sana katika process za biashara, Trend Micro wanashauri uziwezeshe tu kwenye applications na software zinazoitumia, au kuruhusu tu macros zilizohakikiwa au kusainiwa.
Soma zaidi HackerHub | Forum Board
Jiunge leo ukutane na ujifunze na experts mbali mbali wa maswala haya ya teknolojia kutoka ndani na nje ya Tanzania, maswali yako na chochote kinachokutatiza kwenye programming, web development, hacking, android, hardwares zote.. yote utapatiwa majibu!
Karibu sana!
Shambulio la Mouse Hover
Wachunguzi wamefichua aina mpya ya shambulizi ambayo inatumia vibaya kitendo kile cha kuhover juu ya maandishi na picha zenye hyperlink kwenye presentation za Microsoft Powerpoint.
Wachunguzi wa Trend Micro wamegundua mbinu ya "mouseover", inayotumika naTrojan downloader. Downloader hiyo walioichambua inaingiza version ya OTLARD banking Trojan, akijulikana pia kwa jina la GootKit.
GootKit ilionekana mwanzoni kwenye 2012 na kukua katika Trojan inayoiba taarifa na remote access, persistence, kuchunguza network traffic na kuharibu mipangilio ya browser. Imekuwa kikawaida ikitumika kuiba nywila(passwords) na taarifa za muhimu za akaunti mbalimbali kutokea makampuni ya kiuchumi ya Ulaya.
Shambulio hili linafanyaje kazi?
Malware huyo anafika kama spam e-mail ikijifanya kama oda ya malipo au invoice yenye malicious PowerPoint Open XML Slide Show(PPSX), au PowerPoint Show(PPS) faili lililoatachiwa. Mafaili haya mawili yanatofauti na PowerPoint presentation files(PPT au PPTX), ambazo zinaweza kueditiwa. Faili la PPS au PPSX linafunguka moja kwa moja katika mode ya presentation.
Mara tu baada faili hilo kupakuliwa(downloaded) na kufunguliwa, inahitaji mawasiliano(interaction) na mtumiaji kufanya kazi. Hii inahusisha maandishi na picha zenye hover juu yake zililowekewa malicious link, inayoanzisha kitendo kile cha mouseover. Kutokea hapo, wanahitaji kuwezesha content iyo kufanya kazi wakishaona security alert.
Mbinu hii inalenga tu mafaili ya PowerPoint, ila inawezekana kusambaa kwenye documents nyingine za Microsoft Office kwa mda mfupi maana zote zinasupport mfumo mmoja.
Nini cha kufanya sasa ili kujizuia na shambulizi hili?
1) Kwa Web Filtering
-Hii ni kuzuia systems kutoweza kufika kwenye sites ambazo malware huyo amehifadhiwa.
2) Kwa kutumia Protect View
-Ambayo inawawezesha watumiaji wa Microsoft PowerPoint kusoma content zilizomo kwenye mafaili yake bila ya kuwepo nafasi ya kwao kudhuriwa.
3) Kwa wana IT na System Admins wanaweza kupunguza tishio hilo kwa kudisable macros, OLE na mouse hovers kwa kuzuia hizi features kwenye mashine zao au kutengeneza group policies zitakazo wablock watumiaji kuziwezesha.
Kama features kama mouse hover na macros ni muhimu sana katika process za biashara, Trend Micro wanashauri uziwezeshe tu kwenye applications na software zinazoitumia, au kuruhusu tu macros zilizohakikiwa au kusainiwa.
Soma zaidi HackerHub | Forum Board
Jiunge leo ukutane na ujifunze na experts mbali mbali wa maswala haya ya teknolojia kutoka ndani na nje ya Tanzania, maswali yako na chochote kinachokutatiza kwenye programming, web development, hacking, android, hardwares zote.. yote utapatiwa majibu!
Karibu sana!