Trung tâm Phòng chống Mã độc Microsoft (MMPC) đã đưa ra cảnh báo hôm 21/11 liên quan đến một cuộc tấn công bằng mã độc trong dịp Black Friday. Trên một dòng tweet, trung tâm này đã cảnh báo về một mã độc ẩn dưới dạng một tệp văn bản có tên là “eMAG- Catalog Oferta Black Friday2017.doc”.
Văn bản chứa mã độc này khai thác DDE để chạy một ứng dụng HTML từ xa. DDE (Dynamic Data Exchange) là giao thức trao đổi dữ liệu động, nó cho phép những ứng dụng trong môi trường Windows gửi hay nhận dữ liệu qua lại. Bằng cách sử dụng DDE, một chương trình có thể truy cập vào các mục dữ liệu được một chương trình khác tạo sẵn. Ví dụ, một chương trình có thể truy cập vào một ô trong một bảng tính MS Excell do một chương trình khác sử dụng. Thông qua DDE, chương trình đầu tiên thậm chí có thể được thông báo bất cứ khi nào có sự thay đổi trong ô Excel đó.
Mặc dù các dạng truyền thông liên tiến trình, như là Object Linking and Embedding (OLE), cũng được sử dụng trong tính toán, nhưng DDE thường được sử dụng do tính đơn giản của nó. Điều này có nghĩa là mối đe dọa của mã độc này là rất lớn.
Microsoft giải thích rằng việc sử dụng HTA (ứng dụng HTML) trong mã độc mới này khác với malware trên DDE sử dụng Powershell trước đây.
Mã độc mới sử dụng một chiến lược khác: nó liên kết tới một URL có từ “test” trong đó. Theo MMPC, đường link này hiện nay vẫn chưa thể truy cập được. Microsoft cho rằng các tên tội phạm mạng sẽ đưa ra một phiên bản ứng dụng của mã độc này bằng cách sử dụng một chiến dịch spam trong những ngày trước Black Friday. Microsoft cho biết rằng phần mềm diệt virus Windows Defender AV sẽ phát hiện ra mã độc này với dạng “Exploit:097M/DDEDownloader.E.” nhưng họ không cho biết xem các chương trình diệt vi rút khác có thể chỉ ra được mã độc này hay không.
Vì vậy, trong ngày Black Friday, khách hàng có thể mua sắm thỏa thích nhưng phải cảnh giác với mối đe dọa hiện hữu này từ các thiết bị số của mình.