نسخه جدیدی از بدافزار Zyklon با بهرهجویی از حداقل سه ضعف امنیتی، در قالب ایمیلهای موسوم به فیشینگ، شرکتهای فعال در حوزههای ارتباطات، بیمه و مالی را هدف قرار داده است.
به گزارش شرکت مهندسی شبکه گستر، این بدافزار که نخستین نسخه آن در اوایل سال 2016 میلادی شناسایی شد با برقراری ارتباط با سرور فرماندهی از طریق شبکه ناشناس Tor مهاجمان خود را قادر به سرقت دادههای حساسی همچون رمزهای عبور وارد شده در مرورگرها و برنامههای مدیریت ایمیل میکند.
ضمن اینکه Zyklon قابلیت اجرای افزونههای مخرب بیشتر بر روی دستگاه و بهرهگیری از سیستم به منظور اجرای حملات توزیعشده برای از کاراندازی سرویس (DDoS) را نیز در خود دارد.
پیشتر برخی منابع از فروش نسخه معمولی این بدافزار با قیمت 75 دلار و نسخه مبتنی بر Tor آن با قیمت 125 دلار در بازارهای زیرزمینی نفوذگران خبر داده بودند.
اکنون در گزارشی که شرکت امنیتی FireEye آن را منتشر کرده در نسخه جدید این بدافزار، حداقل از سه ضعف امنیتی زیر بهرهجویی شده است:
- آسیبپذیری NET Framework. به حملات اجرای از راه دور کد (CVE-2017-8759) که اصلاحیه آن در ماه سپتامبر سال 2017 عرضه شد.
- آسیبپذیری نرمافزار Office به حملات اجرای از راه دور کد (CVE-2017-11882) که شرکت مایکروسافت آن را در ماه نوامبر سال گذشته میلادی ترمیم کرد.
- بهرهجویی از پودمان Dynamic Data Exchange که مهاجمان با سوءاستفاده از آن قادر به اجرای کد مخرب در قالب یک فایل Office خواهند بود.
در جریان حملات اخیر مهاجمان پشت پرده Zyklon، ایمیلهایی با عناوین و محتوای فریبنده به کاربران ارسال میشود. پیوست این ایمیلها فایلی ZIP است که خود نیز حاوی یک فایل Word میباشد.
باز شدن فایل Word بر روی دستگاه با یکی از آسیبپذیری ها فوق سبب اجرای یک اسکریپت PowerShell میشود. اسکریپت مذکور نیز پس از برقراری ارتباط با سرور فرماندهی فایل مخرب Zyklon را دریافت کرده و بر روی دستگاه اجرا میکند.
اصلیترین راهکار در مقابله با حملات اخیر این بدافزار، استفاده از ضدویروس بهروز و قدرتمند، اطمینان از نصب بودن تمامی اصلاحیههای امنیتی و همچنین پیکربندی صحیح تنظمیات نرمافزار Office است. ضمن اینکه موزش و راهنمایی کاربران سازمان به صرفنظر کردن از ایمیلهای مشکوک و باز نکردن آنها میتواند نقشی مؤثر در پیشگیری از آلوده شدن دستگاهها به این بدافزار داشته باشد.