Kaspersky Lab uzmanları, saldırganların hedefli saldırıları başarılı bir şekilde faaliyete geçirmek için kullandıkları popüler belge-oluşturma yazılımında bir özellik keşfetti. Basit bir ofis belgesi açıldığında etkinleştirilen kötü niyetli bir uygulama, kurbanın cihazına yüklenen yazılım aracılığıyla bilgileri, kullanıcı etkileşimi olmadan otomatik olarak saldırganlara gönderiyor. Bu veriler, saldırganların hedeflenen aygıtı hacklemek için kurbanlardan nasıl yararlanmaları gerektiğini anlamalarını sağlıyor.
Bu süreçte belgenin hangi cihazda açıldığı önemli değil. Saldırı tekniği, popüler metin işleme yazılımının masaüstü ve mobil sürümleri üzerinde çalışıyor. Kaspersky Lab, araştırmacılarının FreakyShelly adını verdiği ve en az bir siber casus tarafından kullanılan bu profilleme yöntemini gözlemledi. Kaspersky Lab sorunu yazılım sağlayıcısına bildirdi ancak henüz tam olarak düzeltilmedi.
Kaspersky Lab uzmanları, bir süre önce FreakyShelly hedefli saldırıları araştırılırken, OLE2 formatındaki belgelerin “spear-phishing” postası gönderdiğini tespit etti (Bunlar, Nesneye Bağlanma-Object Linking ve Yerleştirme-Embedding teknolojisini kullanarak, uygulamaların internetten çeşitli kaynaklardan gelen bilgileri içeren bileşik belgeler oluşturmasına yardımcı oluyor). Bununla birlikte, belgenin hareketi derinlemesine incelendiğinde, belgenin açılmasıyla birlikte yabancı bir web sayfasına belirli bir GET isteği gönderdiği görüldü. GET isteğinde, aygıtta kullanılan tarayıcı, işletim sisteminin sürümü ve saldırıya uğramış aygıta yüklenen diğer yazılımlarla ilgili bilgiler yer alıyordu. Sorun ise uygulamanın bu web sayfasına herhangi bir istek göndermemesi gerektiğiydi.
