Nya attacker med Microsoft Word — använder makron för att hacka din dator

Ryska hackergruppen Fancy Bear använder sårbarheter i Microsofts mjukvaror för att infektera din dator. Om du använder Office-paketet är du i skottlinjen, men Microsoft har en lösning som du kan skydda dig med.

Fancy Bear skickar speciellt preparerade Word-filer som använder en funktion kallad ”Dynamic Data Exchange”, eller bara DDE förkortat, som gör att kod kan lagras och köras från exempelvis dokument. Funktionen gör även att data i dokumenten kan uppdateras med ny information när sådan finns.

Och det är den sistnämnda delen som Fancy Bear ser till att nyttja till max i sina utskick. Så fort mottagaren av hackergruppens Word-filer öppnar dokumentet på skapas en kontakt med en server. Därefter börjar flera separata nerladdningar som tillsammans skapar ett malware på datorn.

Malware-koden i fråga heter Seduploader och den kan i sin tur användas för att ladda ner otrevligare saker. Som ransomware vilka låser datorn tills du betalar för att få använda den igen, ett av många exempel.

Tacksamt nog finns några enkla sätt att undvika Seduploader och neka hackergruppen åtkomst till datorn.

Tre tips för att skydda dig mot DDE-attacker

Det första är att alltid använda en uppdaterad version av Office-paketet. Se till att installera nya uppdateringar så fort de släpps så undviker du många sårbarheter som Microsoft fixar med sina sårbarhetsfixar.

Nästa tips är att inte planlöst acceptera alla popup-rutor som dyker upp i program som har stöd för ”Dynamic Data Exchange”. Bland dessa finner vi exempelvis Word, Excel, Visual Basic och Quattro Pro. Texten på popup-rutan du ska hålla koll på är:

Läs också: Trojaner försöker stjäla inloggningsuppgifter till banker – Microsoft varnar

”This document contains links that may refer to other files. Do you want to upload this document with the data from the linked files?”

Rätt svar på frågan är — nej.

Om du ändå godkänner programmet förfrågan kommer du att presenteras med ytterligare en ruta som säger att en körbar fil som behövs inte finns tillgänglig. Den undrar om du vill starta programmet cmd.exe.

Och rätt svar på om du vill göra det är — nej.

Först när du accepterat båda rutorna kommer den skadliga koden att laddas ner till datorn. Och om det sker hoppas vi innerligt att du har ett bra antivirusprogram installerat.

Ett tredje och sista tips är att öppna Word eller Excel, gå till Inställningar och sedan Avancerat. Här kryssar du av för alternativet ”Ignore other applications that use Dynamic data Exchange (DDE)”, eller motsvarande på svenska.

Har du fler tips eller har du drabbats av hackergruppen? Skriv en rad till oss och berätta!