Bilgisayar korsanları uzun süredir Word ve Excel belgelerini kötü amaçlı yazılım için teslimat araçları olarak kullanmıştır ve 2025’te bu hileler modası geçmiş olmaktan uzaktır. Kimlik avı planlarından sıfır tıkaç istismarlarına kadar, kötü amaçlı ofis dosyaları hala bir kurbanın sisteminin en kolay yollarından biridir.
İşte bu yıl hala turlar yapan en iyi üç Microsoft ofis tabanlı istismar ve bunlardan kaçınmak için bilmeniz gerekenler.
1. MS Office’te Kimlik Yardımı: Hala Hacker’ların Favorisi
Microsoft Office dosyalarını kullanan kimlik avı saldırıları yıllardır var ve hala güçleniyorlar. Neden? Çünkü, özellikle ekiplerin sürekli kelime değiştirdikleri ve belgeleri mükemmelleştirdiği iş ortamlarında çalışıyorlar.
Saldırganlar, özellikle bir meslektaşına, müşteriye veya ortağa benzeyen şeyden geldiklerinde, insanların ofis dosyaları açmaya alışık olduklarını bilirler. Sahte bir fatura, paylaşılan bir rapor veya bir iş teklifi: Birini tıklamaya ikna etmek çok fazla zaman almaz. Ve dosya açıldığında, saldırganın şansı vardır.
Ofis dosyalarıyla kimlik avı genellikle giriş bilgilerini çalmayı amaçlar. Bu belgeler şunları içerebilir:
- Sahte Microsoft 365 Oturum Açma Sayfalarına Bağlantılar
- Şirket araçlarını veya hizmetlerini taklit eden kimlik avı portalları
- Sonunda kimlik bilgisi hasat sitelerine inen zincirleri yönlendirin
Herhangi bir şekilde kötü amaçlı yazılım analiz oturumu, bir excel dosyası kötü amaçlı kimlik avı bağlantısı içerir:
Excel Dosyası ile Analiz Oturumunu Görüntüle
 |
| Herhangi bir içinde tespit edilen kötü niyetli bağlantı içeren excel dosyası. |
Tıklandığında, kurban bir Cloudflare “İnsan Olduğunuzu Doğrula” kontrolünü gösteren bir web sayfasına götürülür.
 |
| Cloudflare doğrulaması herhangi biriyle geçti. Run’un otomatik etkileşimi |
Tıkladıktan sonra başka bir yönlendirme var; Bu sefer sahte bir Microsoft giriş sayfasına.
 |
| Rastgele karakterlerle sahte Microsoft Giriş sayfasına kötü niyetli bağlantı |
İlk bakışta gerçek görünebilir. Ancak herhangi bir sandbox’ın içinde, kırmızı bayrakları tespit etmek kolaydır. Microsoft Oturum Açma URL’si resmi değil; Rastgele karakterlerle doludur ve açıkça Microsoft’un alanına ait değildir.
Tehditleri güvenli bir ortamda daha hızlı tespit etmek, araştırmak ve raporlamak için ekibinize doğru aracı verin.
Gelişmiş kötü amaçlı yazılım analizine erişmek için herhangi bir.run denemesini alın
Bu sahte giriş sayfası, kurbanın bilmeden giriş kimlik bilgilerini doğrudan saldırgana teslim ettiği yerdir.
Saldırganlar da daha yaratıcı hale geliyor. Son zamanlarda, bazı kimlik avı belgeleri içine gömülü QR kodları ile birlikte gelir. Bunlar, bir akıllı telefonla taranması, kurbanı kimlik avı web sitesine göndermesi veya kötü amaçlı yazılım indirmesini tetiklemesi anlamına gelir. Bununla birlikte, herhangi bir araçla algılanabilir ve analiz edilebilirler.
2. CVE-2017-11882: Ölmeyecek Denklem Düzenleyicisi istismarı
İlk olarak 2017’de keşfedilen CVE-2017-11882, Microsoft Office’in modası geçmiş sürümlerini çalıştıran ortamlarda bugün hala kullanılmaktadır.
Bu güvenlik açığı, eski ofis yapılarının bir parçası olan nadiren kullanılan bir bileşen olan Microsoft denklem düzenleyicisini hedefler. İstismar etmek tehlikeli bir şekilde basittir: Sadece kötü niyetli bir kelime dosyası açmak istismar tetikleyebilir. Makro yok, ekstra tıklamalara gerek yok.
Bu durumda, saldırgan, genellikle uzak sunucu bağlantısı aracılığıyla arka planda bir kötü amaçlı yazılım yükü indirmek ve çalıştırmak için kusuru kullanır.
Analiz oturumumuzda, teslim edilen yük, tuş vuruşlarını, kimlik bilgilerini ve pano verilerini yakalamak için kullanılan bilinen bir info-stealer olan Ajan Tesla idi.
Kötü amaçlı yüklü analiz oturumunu görüntüleyin
 |
| Kötü niyetli excel ekini içeren kimlik avı e -postası |
Bu analizin MITER ATT & CK bölümünde, herhangi birinin nasıl olduğunu görebiliriz.Run Sandbox, saldırıda kullanılan bu özel tekniği tespit etti:
 |
| Herhangi bir kişi tarafından tespit edilen denklem editörünün sömürülmesi |
Microsoft yıllar önce güvenlik açığını yamamasına rağmen, güncellenmemiş sistemleri hedefleyen saldırganlar için hala yararlıdır. Ve daha yeni ofis sürümlerinde varsayılan olarak devre dışı bırakıldığında, CVE-2017-11882, garantili yürütme isteyen siber suçlular için bir geri dönüş haline geldi.
3. CVE-2022-30190: Follina hala oyunda
Follina istismarı (CVE-2022-30190), basit bir nedenden ötürü saldırganlar arasında favori olmaya devam ediyor: makro olmadan çalışır ve bir kelime dosyası açmanın ötesinde herhangi bir kullanıcı etkileşimi gerektirmez.
Follina, uzaktan kodu yürütmek için ofis belgelerine gömülü Microsoft Destek Teşhis Aracı’nı (MSDT) ve özel URL’leri kötüye kullanır. Bu, dosyanın görüntülenmesinin, bir komut ve kontrol sunucusuyla iletişim kuran kötü amaçlı komut dosyalarını başlatmak için yeterli olduğu anlamına gelir.
Follina ile Analiz Oturumunu Görüntüle
 |
| Follina tekniği herhangi birinin içinde tespit edildi. Run Sandbox |
Kötü amaçlı yazılım analiz örneğimizde saldırı bir adım daha ileri gitti. Steganografinin kullanımını gösteren “Stegocampaign” etiketini gözlemledik – kötü amaçlı yazılımların görüntü dosyalarının içinde gizlendiği bir teknik.
 |
| Saldırıda steganografi kullanımı |
Görüntü, PowerShell kullanılarak indirilir ve işlenir ve gerçek yükü hemen alarm vermeden çıkarır.
 |
| Herhangi bir içinde analiz edilen kötü niyetli yüklü görüntü. |
Daha da kötüsü, Follina genellikle çok aşamalı saldırı zincirlerinde kullanılır, etkiyi artırmak için diğer güvenlik açıklarını veya yükleri birleştirir.
MS Office kullanan ekipler için bu ne anlama geliyor?
Ekibiniz günlük çalışma için büyük ölçüde Microsoft Office’e güveniyorsa, yukarıda belirtilen saldırılar bir uyandırma çağrısı olmalıdır.
Siber suçlular ofis dosyalarının güvenilir olduğunu ve iş dünyasında yaygın olarak kullanıldığını bilir. Bu yüzden onları sömürmeye devam ediyorlar. Bir kimlik avı bağlantısını gizleyen basit bir excel sayfası ister sessizce kötü niyetli kod çalıştıran bir kelime belgesi olsun, bu dosyalar kuruluşunuzun güvenliği için ciddi riskler oluşturabilir.
İşte ekibinizin yapabileceği:
- Ofis belgelerinin dahili olarak nasıl ele alındığını gözden geçirin; Dış kaynaklardan dosyaları kimin açabileceğini veya indirebileceğini sınırlayın.
- Any.run gibi araçlar kullanın Sandbox, şüpheli dosyaları ekibinizdeki herkes onları açmadan önce güvenli, izole bir ortamda incelemek için.
- Tüm ofis yazılımlarını düzenli olarak güncelleyin ve mümkün olduğunca makro veya denklem düzenleyicisi gibi eski özellikleri devre dışı bırakın.
- Bilgilendirilmiş kalın Güvenlik ekibinizin hızlı bir şekilde yanıt verebilmesi için ofis biçimlerine bağlı yeni istismar teknikleri hakkında.
Mobil kötü amaçlı yazılımları Any.Run’un yeni Android işletim sistemi desteğiyle analiz edin
Tehdit ofis dosyalarında durmuyor. Mobil cihazlar artık önemli bir hedeftir ve saldırganlar sahte uygulamalar, kimlik avı bağlantıları ve kötü amaçlı APS aracılığıyla kötü amaçlı yazılım yayıyor.
Bu, işletmeler için büyüyen bir saldırı yüzeyi ve daha geniş görünürlük ihtiyacı anlamına gelir.
RUN’un yeni Android işletim sistemi desteği ile güvenlik ekibiniz artık şunları yapabilir:
- Android kötü amaçlı yazılımları gerçek bir mobil ortamda analiz edin
- Üretim cihazlarına çarpmadan önce şüpheli APK davranışını araştırın
- Mobil tehditlere daha hızlı ve daha açık bir şekilde yanıt verin
- Hem masaüstü hem de mobil ekosistemlerde olay yanıtını destekleyin
Tam kapsam için büyük bir adımdır ve ücretsiz de dahil olmak üzere tüm planlarda mevcuttur.
İlk Android tehdit analizinize bugün başlayın ve güvenlik analistlerinize mobil saldırı yüzeyinizi korumak için ihtiyaç duydukları görünürlüğü verin.