Eine zunehmende Anzahl an Angriffen ergreift sich Vorteile über die Fähigkeit des modernen Dokumentenformats um an Baseline Antimalware Lösungen vorbei zu gehen. Solche ausweichende Maßnahmen erfordern die Einführung von bösartigen Aktionen von Dokumentendateien um Endpunkte durch die Nutzung von Macros, PowerShell und anderen Skripten zu infizieren. Ein einziger Klick Ihr System versehentlich infizieren.

Malware Autoren suchen weiterhin und finden unweigerlich neue Arten von misshandelnden Funktionen von Dokumentbearbeitungsanwendungen um Systeme zu infizieren. Eine solche ausweichende Technik, welche in letzter Zeit seine Runden gemacht hat, ergreift den Vorteil der Unterstützung, welche Microsoft Office für eine Technologie hat, bekannt als Dynamic Data Exchange (DDE). DDE ermöglicht es Feinden heimliche Nutzlasten über Dokumentdateien zu liefern, während es die übliche  Nutzung von Macro vermeidet.

Feinde haben sich schnell daran angepasst diese Technik zu nutzen und nutzen nun diese im in-the-wild aus. Zum Beispiel zeigte ein kürzlicher Bericht von Talos die Nutzung von DDE im gezielten Speer Phishing mit bösartigen Dokumenten und gefährdete die Server der Regierung der Vereinigten Staaten von Amerika.

Ein anderes Beispiel ist Necurs Botnet und Hancitor, eine Malware, welche nie zu spät zur Party kommt, nutzt solche neuen Taktiken wie die einen, welche von unserem Team zuvor offengelegt wurden.

Die Nutzung von DDE als eine ausweichende Taktik is für Angreifer attraktiv, weil es ihnen ermöglicht die Endpunktlösungen zu umgehen, welche kürzlich ihren Macro Codeschutz verbesserten.

Die Angreifer können DDE nutzen um bösartige Codes durchzuführen, nicht nur von Microsoft Word und Excel aus, aber ebenfalls von Outlook E-Mail Nachrichten und Kalendereinladungen aus. Auf diese Art, ist die Effektivität der Taktik ähnlich wie bei der eines früheren Länder staatlichen Angriffs. Solche ausweichenden Taktiken machen die Erkennung der Gefahr sehr schwierig und drängen Sicherheitsadministratoren dazu auf Endnutzer zu vertrauen, sowie es von Sophos beschrieben wurde.

Sowie die Anzahl von bösartigen Angriffen steigt, folgt die Antwort der Sicherheitsbranche mit verbesserter Erkennung. Dies schickt im Gegenzug Straftäter neue ausweichende Techniken zu finden.

Im Gegensatz zu anderen Endpunkt-Sicherheitslösungen, untersucht Minervas Anti-Ausweichungsplattform nicht Dateien nach bösartigen Eigenschaften um unsere Nutzer zu schützen. Stattdessen, erstellen wir am Endpunkt eine Umgebung, wo ausweichende Taktiken Malware dazu treiben sich selbst aufzulösen oder schlafen zu gehen. Sowie ich es tweetete als der Angriff auftauchte, alle Minerva Kunden sind vor diesem Angriff geschützt.