نماد سایت اتاق خبر شبکه گستر

بهره‌جویی از PowerPoint برای توزیع بدافزار

از دسامبر 2021، تعداد کارزارهای موسوم به “فریب سایبری” یا فیشینگ (Phishing) که در آن از اسناد مخرب PowerPoint جهت توزیع انواع مختلف بدافزارها استفاده می‌شود، افزایش قابل توجهی داشته است.

در این گزارش که با همکاری شرکت مهندسی شبکه گستر و مرکز مدیریت راهبردی افتای ریاست جمهوری تهیه گردیده کارزارهای مذکور مورد بررسی قرار گرفته است.

بدافزارهای بکارگرفته شده در این کارزارها از نوع “تروجان” (Trojan) می‌باشند که شرایط دسترسی غیرمجاز از راه دور (Remote Access) و سرقت اطلاعات (Information-Stealing Trojan) را برای مهاجمان فراهم می‌کنند.

بنا بر گزارش آزمایشگاه تهدیدات سایبری نت‌اسکوپ (Netskope Threat Labs)، مهاجمان از سرویس‌های ابری معتبر برای میزبانی فایل‌های PowerPoint که حاوی کدهای بدافزاری هستند، استفاده کرده‌اند.

در کارزار مذکور از Warzone (که به AveMaria نیز معروف است) و AgentTesla، که هر دو نوعی RAT ا(Remote Access Trojan) پیشرفته می‌باشند، استفاده می‌شود. بدافزارهای مذکور، اطلاعات اصالت‌سنجی را سرقت نموده و بسیاری از برنامه‌های کاربردی را مورد هدف قرار می‌دهند. مهاجمان در این کارزار از بدافزارهای سرقت‌کننده رمزارز (Cryptocurrency Stealer) نیز استفاده می‌کنند.

فایل PowerPoint مخرب که پیوست ایمیل‌های فیشینگ است حاوی ماکروی مخفی شده (Obfuscated Macro) می‌باشد که با بکارگیری از PowerShell و MSHTA، که هر دو از ابزارهای تعبیه شده در Windows، هستند، اجرا می‌شود. سپس اسکریپت VBS از حالت مخفی خارج می‌شود (De-obfuscated) و جهت ماندگاری در سیستم، ورودی‌های جدید Registry را در Windows ایجاد می‌کند. این به نوبه خود، منجر به اجرای دو اسکریپت می‌شود. اسکریپت اول، بدافزار AgentTesla را از یک URL خارجی بازیابی نموده و اسکریپت دوم، Windows Defender را غیرفعال می‌کند.

 

 

علاوه بر این، اسکریپت VBS یک وظیفه زمان‌بندی شده (Scheduled Task) ایجاد می‌کند به صورتی که هر ساعت یک اسکریپت خاص اجرا می‌شود تا یک بدافزار سرقت‌کننده رمز‌ارز را از یک نشانی اینترنتی در سایت Blogger همانند آنچه در تصویر زیر نشان داده شده، دریافت کند.

 

 

بدافزار AgentTesla یک نوع RAT مبتنی بر فناوری NET. است که می‌تواند رمزهای عبور مرورگر، کلیدهای فشرده شده در صفحه کلید، محتوای Clipboard و غیره را سرقت کند. بدافزار مذکور توسط PowerShell اجرا شده و تا حدودی مخفی شده است. علاوه بر این، تابعی نیز وجود دارد که کد بدافزاری را به فایل اجرایی “aspnet_compiler.exe” تزریق می‌کند.

 

 

دومین بدافزار مورد استفاده در این کارزار، Warzone می‌باشد که آن نیز از نوع RAT بوده اما شرکت نت‌اسکوپ جزئیات زیادی در مورد آن در گزارش ارائه نکرده است. بدافزار سرقت‌کننده رمزارز، سومین کد بدافزاری مورد استفاده است که داده‌های Clipboard را جهت تشخیص نشانی کیف پول رمزارزها، بررسی می‌کند. در صورت پیدا کردن نشانی کیف‌پول معتبر، نشانی کیف‌پول گیرنده را با نشانی کیف‌پول مهاجم، جایگزین می‌نماید. این سارق رمزارز، از رمزارزهایی همچون Bitcoun ،Ethereum ،XMR ،DOGE و غیره پشتیبانی می‌کند.

محققان نت‌اسکوپ، لیست کامل نشانه‌های آلودگی (Indicators of Compromise – به اختصار IoC) مربوط به این کارزار را در نشانی زیر منتشر کرده‌اند:

https://github.com/netskopeoss/NetskopeThreatLabsIOCs/tree/main/AgentTesla/IOCs

 

 

شرکت فورتی‌نت (Fortinet) نیز در دسامبر 2021 در خصوص کارزار مشابهی با نام DHL گزارش داد که در آن نیز از اسناد PowerPoint برای اجرای بدافزار AgentTesla استفاده می‌شده است.

کاربران باید همانند فایل‌های Excel، با فایل‌های PowerPoint نیز با احتیاط برخورد کنند زیرا کد ماکرو مخرب تعبیه شده در آنها می‌تواند به همان اندازه خطرناک و فاجعه‌بار باشد.

مهاجمان در این کارزار، از سرویس‌های ابری معتبر جهت میزبانی کدهای مخرب خود استفاده کردند تا توسط محصولات امنیتی مورد شک و شناسایی قرار نگیرند. بنابراین، مطمئن‌ترین اقدام محافظتی این است که با احتیاط تمام، ارتباطات ناخواسته را مدیریت نموده و ماکروها در مجموعه نرم‌افزارهای Microsoft Office غیرفعال شوند.

 

منبع:

https://www.bleepingcomputer.com/news/security/malicious-powerpoint-files-used-to-push-remote-access-trojans/

خروج از نسخه موبایل