بازگشت بدافزارهای ماکرو پس از سالها غیبت

Officeدر چند ماه گذشته، چندین گروه نفوذگر و مهاجم از طریق فایل های Office که حاوی فرامین مخرب ماکرو (Macro) بوده‌اند، اقدام به انتشار بدافزار کرده‌اند و روشی را که بیش از ده سال قبل، کنار گذاشته شده بود، دوباره بکار گرفته‌اند.

ماکرو نوعی برنامه است که حاوی فرامینی برای خودکارسازی برخی عملیات در نرم افزارهای کاربردی می باشد. نرم افزارهای Word و ٍExcel در مجموعه نرم افزارهای Office با فرامین ماکرو که با استفاده از VBA یا Visual Basic for Applications تهیه شده باشند، سازگار هستند. بدین روش و با استفاده از قابلیت های ماکرو، می توان اقدامات مخربی، نظیر نصب بدافزار، را به اجرا در آورد.

در سال 2001 میلادی، جهت جلوگیری از سوء استفاده از قابلیت های ماکرو، برای اولین بار در نسخه Office XP قبل از اجرای فرامین ماکرو، از کاربر تائیدیه درخواست شد. این اقدام شرکت مایکروسافت دلیل اصلی برای کنار گذاشتن روش ماکرو توسط بدافزارنویسان بود.

ولی اکنون به نظر می رسد که با استفاده همزمان از روش های مهندسی اجتماعی (Social Engineering) برای فریب کاربران و قابلیت ماکرو برای انتشار بدافزار، همچنان می توان از این روش قدیمی برای اقدامات مخرب استفاده کرد. همانگونه که طی ماههای اخیر، چند گونه بدافزار جدید که از قابلیت ماکرو در Office سوء استفاده می کنند، مشاهده و گزارش شده اند.

دو بدافزار Adnel و Tarbir که فعالیت آنها در ماه گذشته به اوج خود رسید، از طریق فرامین ماکرو که در فایلهای Word و Excel مخفی هستند، منتشر می شوند. فایلهای Office حاوی ماکروهای مخرب از طریق ارسال انبوه هرزنامه (spam) به دست کاربران می رسد. این فایل های مخرب در ظاهر صورتحساب خرید کالا، حواله بانکی یا رسید پستی هستند. بدافزارهای Adnel و Tarbir عمدتاً کاربران در کشورهای انگلیس و آمریکا را هدف قرار داده اند.

در صورتیکه کاربری فریب خورده و فایل پیوست این ایمیل های مخرب را باز کند، یک راهنما، قدم به قدم کاربر را راهنمایی می کند تا امکان اجرای فرامین ماکرو را در محیط Office فعال نماید. وجود راهنمای خوش ظاهر، ارتباط ایمیل با مسائل مالی و استفاده از نام های مرتبط با کارهای روزمره مردم عادی، کافیست تا بسیاری از کاربران را فریب داده و آنها را وسوسه به فعالسازی امکانات ماکرو در Office نماید.

بدافزار دیگری که اخیراً با استفاده از قابلیت های ماکرو منتشر شده، بدافزار Dridex است و کاربرانی را که به سایت های بانکداری اینترنتی مراجعه می کنند، هدف قرار می دهد. در اوج فعالیت بدافزار Dridex، گردانندگان این بدافزار، روزانه بیش از 15 هزار فایل Office حاوی ماکروهای مخرب توزیع می کردند.

شرکت مایکروسافت نیز در اطلاعیه ای، افزایش فعالیت بدافزارهای از نوع ماکرو را تائید کرده و درباره آن هشدار داده است.

علاوه بر بدافزارنویسان، به تازگی مهاجمین سایبری که توسط برخی دولتها حمایت می شوند نیز از روش ماکرو برای عملیات مخرب و جاسوسی خود استفاده کرده اند. در مقاله ای که در کنفرانس Chaos Communication در کشور آلمان ارائه شد، جزئیات یک عملیات جاسوسی سایبری تشریح گردید. در این عملیات که نام Rocket Kitten به آن داده شده، از فایلهای Excel حاوی ماکروهای مخرب استفاده شده تا یک درب مخفی (back-door) بر روی سیستم قربانیانی که از قبل تعیین شده بودند، نصب گردد.  

  

 

اشتراک گذاری

Facebook
Twitter
WhatsApp
Telegram

نظرات

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *