انتشار بدافزار مخرب Zyklon، با بهره‌جویی از سه آسیب‌پذیری جدید

نسخه جدیدی از بدافزار Zyklon با بهره‌جویی از حداقل سه ضعف امنیتی، در قالب ایمیل‌های موسوم به فیشینگ، شرکت‌های فعال در حوزه‌های ارتباطات، بیمه و مالی را هدف قرار داده است.

به گزارش شرکت مهندسی شبکه گستر، این بدافزار که نخستین نسخه آن در اوایل سال 2016 میلادی شناسایی شد با برقراری ارتباط با سرور فرماندهی از طریق شبکه ناشناس Tor مهاجمان خود را قادر به سرقت داده‌های حساسی همچون رمزهای عبور وارد شده در مرورگرها و برنامه‌های مدیریت ایمیل می‌کند.

ضمن اینکه Zyklon قابلیت اجرای افزونه‌های مخرب بیشتر بر روی دستگاه و بهره‌گیری از سیستم به منظور اجرای حملات توزیع‌شده برای از کاراندازی سرویس (DDoS) را نیز در خود دارد.

پیش‌تر برخی منابع از فروش نسخه معمولی این بدافزار با قیمت 75 دلار و نسخه مبتنی بر Tor آن با قیمت 125 دلار در بازارهای زیرزمینی نفوذگران خبر داده بودند.

اکنون در گزارشی که شرکت امنیتی FireEye آن را منتشر کرده در نسخه جدید این بدافزار، حداقل از سه ضعف امنیتی زیر بهره‌جویی شده است:

• آسیب‌پذیری NET Framework. به حملات اجرای از راه دور کد (CVE-2017-8759) که اصلاحیه آن در ماه سپتامبر سال 2017 عرضه شد.
• آسیب‌پذیری نرم‌افزار Office به حملات اجرای از راه دور کد (CVE-2017-11882) که شرکت مایکروسافت آن را در ماه نوامبر سال گذشته میلادی ترمیم کرد.
• بهره‌جویی از پودمان Dynamic Data Exchange که مهاجمان با سوءاستفاده از آن قادر به اجرای کد مخرب در قالب یک فایل Office خواهند بود.

در جریان حملات اخیر مهاجمان پشت پرده Zyklon، ایمیل‌هایی با عناوین و محتوای فریبنده به کاربران ارسال می‌شود. پیوست این ایمیل‌ها فایلی ZIP است که خود نیز حاوی یک فایل Word می‌باشد.

باز شدن فایل Word بر روی دستگاه با یکی از آسیب‌پذیری ها فوق سبب اجرای یک اسکریپت PowerShell می‌شود. اسکریپت مذکور نیز پس از برقراری ارتباط با سرور فرماندهی فایل مخرب Zyklon را دریافت کرده و بر روی دستگاه اجرا می‌کند.

اصلی‌ترین راهکار در مقابله با حملات اخیر این بدافزار، استفاده از ضدویروس به‌روز و قدرتمند، اطمینان از نصب بودن تمامی اصلاحیه‌های امنیتی و همچنین پیکربندی صحیح تنظمیات نرم‌افزار Office است. ضمن اینکه موزش و راهنمایی کاربران سازمان به صرف‌نظر کردن از ایمیل‌های مشکوک و باز نکردن آنها می‌تواند نقشی مؤثر در پیشگیری از آلوده شدن دستگاه‌ها به این بدافزار داشته باشد.