Атаката е възможна благодарение на нова функция в Microsoft Word.

Майнърите получиха още една възможност за добив на криптовалута благодарение на нова функция в Microsoft Word. Това е функционалността за вграждане на видео от интернет във Word файловете, без да се вмъква самото видео.

Тази функция дава възможност на потребителите да копират iframe кода от програмния прозорец и при следващото отваряне на файла, видеото ще се покаже в документа. Зареждането и възпроизвеждането на самото видео става чрез клик върху бутона за възпроизвеждане.

Експертите от израелската компания Votiro съобщиха, че хакерите могат да използват този механизъм за зареждането на JS скриптове за добив на криптовалутата Monero. Тази атака е възможна благодарение два фактора: първо, Microsoft Word не прави проверка от какъв източник е взет iframe кода и второ, видеото се възпроизвежда в средата на браузъра Internet Explorer.

Така например, хакерът може да качи видеоклип с програма за добив на цифрова валута в своя сайт и когато потребителите изтеглят и стартират видеото, да се стартира и скрипта. От финансова гледна точка, този метод не е много изгоден, но ако по някакъв начин хиляди потребители отворят подобен Word документ, полза ще има.

ДОБАВИ КОМЕНТАР

  Абонирай се  
Извести ме за