نماد سایت اتاق خبر شبکه گستر

انتشار بدافزار از طریق نوعی خاص از فایل‌های Excel

مهاجمان در روشی خلاقانه و البته مخرب در حال آلوده‌سازی سیستم‌ها به بدافزار از طریق نوع خاصی از فایل‌های Excel هستند. بهره‌گیری از این روش موجب پایین آمدن شانس شناسایی بدافزار و تسهیل عبور آن از سد محصولات امنیتی می‌گردد.

کارزاری که این فایل‌های Excel در آن نقش ناقل بدافزار دارند از اواخر بهار امسال فعال بوده و سازمان‌ها را در کشورهای مختلف هدف قرار می‌دهد.

در این کارزار ایمیل‌هایی با موضوعات در ظاهر مرتبط با صورتحساب و سفارش خرید که این نوع فایل Excel به آنها پیوست شده به کاربر ارسال می‌شود.

 

 

نکته قابل توجه اینکه فایل‌های مذکور نه در نرم‌افزار استاندارد Microsoft Office که توسط یک کتابخانه مبتنی بر NET. با نام EPPlus ایجاد شده‌اند.

معمولاً برنامه‌نویسان از این کتابخانه جهت اضافه کردن قابلیت موسوم به “ارسال در قالب Excel”و (Export as Excel) یا “ذخیره در قالب صفحه گسترده” (Save as Spreadsheet) به نرم‌افزارهای خود بهره می‌گیرند. کتابخانه مذکور قادر به تولید صفحه گسترده در قالب Office Open XML – به اختصار OOXML – بدون هر گونه فراداده (Metadata) است. همچنین EPPlus امکان افزودن ماکرو (Macro) را به صفحه گسترده فراهم می‌کند.

به گزارش شرکت مهندسی شبکه گستر، فایل Excel مورد استفاده در این کارزار حاوی یک اسکریپت مخرب ماکرو است. در صورت باز شدن فایل و کلیک کاربر بر روی دگمه Enable editing ماکروی مخرب اجرا شده و پس از دریافت بدافزار، آن را بر روی سیستم قربانی نصب می‌کند.

مهاجمان با استفاده از EPPlus نیز اقدام به تخصیص رمز عبور به ماکروی لحاظ شده در فایل کرده‌اند که در نتیجه آن امکان مشاهده کد مخرب از کاربر و محصولات امنیتی سلب شده است.

 

 

ضمن اینکه ساختار متفاوت فایل ایجاد شده توسط EPPlus موجب عبور آن از سد برخی محصولات ضدویروس و پویشگران ایمیل شده است.

در نمونه‌های مورد بررسی، بدافزارهای دریافت و اجرا شده توسط ماکرو، جاسوس‌افزارهایی همچون Azorult،وAgentTesla،وFormbook،وMatiex و njRat بوده‌اند. این بدافزارها اطلاعات حساسی نظیر رمزهای عبور ذخیره شده از طریق مرورگرها و نرم‌افزارهای مدیریت ایمیل را استخراج و به گردانندگان خود ارسال می‌کنند.

بر طبق آمار شرکت امنیتی مک آفی تعداد ماکروهای مخرب جدید در سه‌ماهه اول سال میلادی جاری افزایشی 412 درصدی در مقایسه با دوره قبلی داشته است.

علاوه بر استفاده از ضدویروس و ضدهرزنامه قدرتمند و به‌روز و همچنین پیکربندی صحیح تنظیمات ماکرو، آموزش کاربران در مواجهه با ایمیل‌های ناآشنا نقشی اساسی در ایمن‌سازی سازمان از گزند این نوع تهدیدات دارد.

فهرست نشانه‌های آلودگی (IoC) این کارزار به شرح زیر است:

درهم ساز:

عناوین ایمیل:

خروج از نسخه موبایل