حملات بدافزار جدیدی که آسیا را هدف گرفته
کاربران قاره آسیا هدف حملات جدیدی قرار گرفته اند که از چندین نقطه ضعف مختلف در نرم افزار Word برای حمله و نفوذ به کامپیوتر آنان سوء استفاده می شود. تلاش اصلی این حملات، نصب یک بدافزار از نوع “درب مخفی” (Back-Door) برای سرقت اطلاعات شخصی و سازمانی است.
بر اساس نمونه های به دست آمده از این بدافزار، کاربران در کشورهای ویتنام، هند، چین و تایوان تاکنون مورد حمله قرار گرفته اند ولی احتمال فعالیت آن در دیگر کشورهای آسیایی نیز وجود دارد.
ایمیل هایی که در ظاهر کاملاً واقعی به نظر می رسند به قربانیان از پیش تعیین شده ارسال می گردد. این ایمیل ها دارای یک فایل پیوست DOC دستکاری شده، هستند که از چند نقطه ضعف قدیمی در نرم افزار Word سوء استفاده می کند. این فایل مخرب به زبان های مختلف آسیایی بوده و حاوی سوژه های متنوع نظیر نحوه تدریس علوم در مدارس و یا نحوه کارکرد شبکه مخابراتی GSM، می باشد.
در این حملات، به طور خاص از دو نقطه ضعف در نرم افزار Office سوء استفاده می شود که در نسخه های 2003، 2007 و 2010 این نرم افزار وجود دارند. این نقاط ضعف قدیمی در سال 2012 میلادی توسط شرکت مایکروسافت با اصلاحیه های MS12-027 و MS12-060 ترمیم شده اند.
نقطه ضعفی که توسط اصلاحیه MS12-027 ترمیم می شود دارای شماره شناسایی CVE-2012-0158 است که اخیراً نیز توسط دو بدافزار دیگر مورد سوء استفاده قرار گرفته است. بدافزار NetTraveler و بدافزار Hangover، دو نمونه ای هستند که به طور گسترده از نقطه ضعف CVE-2012-0158 برای نفوذ به کامپیوتر قربانیان خود سوء استفاده می کنند.
به محض باز شدن فایل Word مخرب، یک بدافزار از نوع “درب مخفی” (Back-Door) که با نام KeyBoy شناسایی می شود، بر روی کامپیوتر قربانی نصب می گردد. این بدافزار یک سرویس جدید به نام MdAdum در سیستم عامل Windows ایجاد می کند. وظیفه این سرویس، اجرا و فعال سازی یک فایل DLL به نام CREDRIVER.dll است.
بدافزار KeyBoy تمام رمزهای عبور ذخیره شده در مرورگر IE و Firefox را سرقت می کند. همچنین این بدافزار، یک برنامه “ضبط صفحه کلید” (Key-Logger) را نصب و اجرا می کند که قادر است رمزهای عبوری که در مرورگر Chrome تایپ می شوند را سرقت کند. بعلاوه، این بدافزار امکان دسترسی غیر مجاز به کامپیوتر و امکان مشاهده شاخه های دیسک سخت و انتقال فایل از/ به کامپیوتر را فراهم می آورد.
همچنین بدافزار KeyBoy می تواند اجرای دستورات را از طریق “خط فرمان” Command Line برای نفوذگران فراهم کند.
تاریخ ساخت فایل بدافزار اوایل فروردین ماه امسال است. همچنین دامنه هایی (Domain) که بدافزار به عنوان مرکز فرماندهی و برای ارسال اطلاعات سرقت شده، از آن استفاده می کند، در فروردین و اردیبهشت امسال ثبت شده اند. اینها نشان می دهد که مدت زیادی از فعال شدن این بدافزار نمی گذرد.
گر چه ساختار بدافزار KeyBoy ساده است و از نقاط ضعف قدیمی و شناخته شده برای عملیات مخرب خود استفاده می کند ولی دلیلی بر عدم موفقیت بدافزار نیست. اغلب بدافزارهایی که در قاره آسیا تهیه و به کار گرفته می شوند نسبتاً ساده تر از بدافزارهای بقیه نقاط جهان هستند.
