آلوده‌سازی دستگاه با فایل Word، بدون استفاده از ماکرو

گروهی از مهاجمان با اجرای حملاتی چندمرحله‌ای در حال انتشار بدافزار خود از طریق هرزنامه‌های با پیوست فایل DOCX هستند.

در حالی که در اکثر حملات مشابه از قابلیت ماکرو در مجموعه نرم‌افزاری Office برای آلوده‌سازی دستگاه قربانی بهره‌جویی می‌شود در این حملات که شرکت امنیتی Trustwave آنها را گزارش کرده از تکنیکی جدید استفاده شده است.

مراحل انتشار بدافزار توسط مهاجمان پشت پرده این حملات به شرح زیر است:

• قربانی یک هرزنامه با پیوست فایل DOCX دریافت می‌کند.
• قربانی فایل را باز می‌کند.
• در فایل DOCX یک افزونه OLE تزریق شده است؛ این افزونه یک فایل RTF را – با ظاهر DOC – دریافت کرده و بر روی دستگاه اجرا می‌کند.
• فایل دریافت شده از آسیب‌پذیری CVE-2017-11882 که مربوط به بخش Equation Editor در مجموعه نرم‌افزاری Office است بهره جویی می‌کند.
• در نتیجه این بهره‌جویی یک خط فرمان MSHTA اجرا شده و فایلی HTA دریافت و اجرا می‌شود.
• فایل HTA حاوی یک اسکریپت VBScript است که با اجرا شدن، خود یک اسکریپت PowerShell را باز می‌کند.
• در نهایت اسکریپت PowerShell یک بدافزار سارق رمز عبور (Password Stealer) را دریافت کرده و بر روی دستگاه اجرا می‌کند.

این بدافزار رمزهای عبور وارد شده در مرورگرها و برنامه‌های مدیریت ایمیل و FTP اجرا شده بر روی دستگاه را ضبط و آنها را به سرور فرماندهی خود ارسال می‌کند.

به گزارش شرکت مهندسی شبکه گستر، بر طبق اعلام شرکت Trustwave هرزنامه‌های ارسال شده در جریان این حملات عناوینی همچون موارد زیر داشته‌اند:

• TNT STATEMENT OF ACCOUNT – {random numbers}……………
• Request for Quotation (RFQ) – < {random numbers} >
• Telex Transfer Notification
• SWIFT COPY FOR BALANCE PAYMENT

راهکار اصلی برای مقابله با این حملات و حملاتی از این دست، علاوه بر استفاده از ضدویروس به‌روز و قدرتمند اطمینان از نصب بودن اصلاحیه‌های امنیتی از جمله اصلاحیه‌های Windows و مجموعه نرم‌افزاری Office است. شرکت مایکروسافت، اصلاحیه آسیب‌پذیری بهره‌جویی شده در این حملات را در ماه ژانویه سال میلادی جاری عرضه کرد.

مشروح گزارش شرکت Trustwave در اینجا قابل دریافت و مطالعه است.

توضیح اینکه نمونه‌های اشاره شده در گزارش مذکور با نام‌های زیر قابل شناسایی می‌باشند:

McAfee
   – Exploit-cve2017-0199.ba
   – Exploit-CVE2017-11882.b
   – VBS/Downloader.fp
   – GenericRXCL-KZ!EDB27CC321DF

Bitdefender
   – Trojan.Doc.Downloader.AGG
   – Exploit.CVE-2017-11882.Gen
   – VB:Trojan.Downloader.JUAU
   – Trojan.PWS.ZKD