از دسامبر 2021، تعداد کارزارهای موسوم به “فریب سایبری” یا فیشینگ (Phishing) که در آن از اسناد مخرب PowerPoint جهت توزیع انواع مختلف بدافزارها استفاده میشود، افزایش قابل توجهی داشته است.
در این گزارش که با همکاری شرکت مهندسی شبکه گستر و مرکز مدیریت راهبردی افتای ریاست جمهوری تهیه گردیده کارزارهای مذکور مورد بررسی قرار گرفته است.
بدافزارهای بکارگرفته شده در این کارزارها از نوع “تروجان” (Trojan) میباشند که شرایط دسترسی غیرمجاز از راه دور (Remote Access) و سرقت اطلاعات (Information-Stealing Trojan) را برای مهاجمان فراهم میکنند.
بنا بر گزارش آزمایشگاه تهدیدات سایبری نتاسکوپ (Netskope Threat Labs)، مهاجمان از سرویسهای ابری معتبر برای میزبانی فایلهای PowerPoint که حاوی کدهای بدافزاری هستند، استفاده کردهاند.
در کارزار مذکور از Warzone (که به AveMaria نیز معروف است) و AgentTesla، که هر دو نوعی RAT ا(Remote Access Trojan) پیشرفته میباشند، استفاده میشود. بدافزارهای مذکور، اطلاعات اصالتسنجی را سرقت نموده و بسیاری از برنامههای کاربردی را مورد هدف قرار میدهند. مهاجمان در این کارزار از بدافزارهای سرقتکننده رمزارز (Cryptocurrency Stealer) نیز استفاده میکنند.
فایل PowerPoint مخرب که پیوست ایمیلهای فیشینگ است حاوی ماکروی مخفی شده (Obfuscated Macro) میباشد که با بکارگیری از PowerShell و MSHTA، که هر دو از ابزارهای تعبیه شده در Windows، هستند، اجرا میشود. سپس اسکریپت VBS از حالت مخفی خارج میشود (De-obfuscated) و جهت ماندگاری در سیستم، ورودیهای جدید Registry را در Windows ایجاد میکند. این به نوبه خود، منجر به اجرای دو اسکریپت میشود. اسکریپت اول، بدافزار AgentTesla را از یک URL خارجی بازیابی نموده و اسکریپت دوم، Windows Defender را غیرفعال میکند.
علاوه بر این، اسکریپت VBS یک وظیفه زمانبندی شده (Scheduled Task) ایجاد میکند به صورتی که هر ساعت یک اسکریپت خاص اجرا میشود تا یک بدافزار سرقتکننده رمزارز را از یک نشانی اینترنتی در سایت Blogger همانند آنچه در تصویر زیر نشان داده شده، دریافت کند.
بدافزار AgentTesla یک نوع RAT مبتنی بر فناوری NET. است که میتواند رمزهای عبور مرورگر، کلیدهای فشرده شده در صفحه کلید، محتوای Clipboard و غیره را سرقت کند. بدافزار مذکور توسط PowerShell اجرا شده و تا حدودی مخفی شده است. علاوه بر این، تابعی نیز وجود دارد که کد بدافزاری را به فایل اجرایی “aspnet_compiler.exe” تزریق میکند.
دومین بدافزار مورد استفاده در این کارزار، Warzone میباشد که آن نیز از نوع RAT بوده اما شرکت نتاسکوپ جزئیات زیادی در مورد آن در گزارش ارائه نکرده است. بدافزار سرقتکننده رمزارز، سومین کد بدافزاری مورد استفاده است که دادههای Clipboard را جهت تشخیص نشانی کیف پول رمزارزها، بررسی میکند. در صورت پیدا کردن نشانی کیفپول معتبر، نشانی کیفپول گیرنده را با نشانی کیفپول مهاجم، جایگزین مینماید. این سارق رمزارز، از رمزارزهایی همچون Bitcoun ،Ethereum ،XMR ،DOGE و غیره پشتیبانی میکند.
محققان نتاسکوپ، لیست کامل نشانههای آلودگی (Indicators of Compromise – به اختصار IoC) مربوط به این کارزار را در نشانی زیر منتشر کردهاند:
https://github.com/netskopeoss/NetskopeThreatLabsIOCs/tree/main/AgentTesla/IOCs
شرکت فورتینت (Fortinet) نیز در دسامبر 2021 در خصوص کارزار مشابهی با نام DHL گزارش داد که در آن نیز از اسناد PowerPoint برای اجرای بدافزار AgentTesla استفاده میشده است.
کاربران باید همانند فایلهای Excel، با فایلهای PowerPoint نیز با احتیاط برخورد کنند زیرا کد ماکرو مخرب تعبیه شده در آنها میتواند به همان اندازه خطرناک و فاجعهبار باشد.
مهاجمان در این کارزار، از سرویسهای ابری معتبر جهت میزبانی کدهای مخرب خود استفاده کردند تا توسط محصولات امنیتی مورد شک و شناسایی قرار نگیرند. بنابراین، مطمئنترین اقدام محافظتی این است که با احتیاط تمام، ارتباطات ناخواسته را مدیریت نموده و ماکروها در مجموعه نرمافزارهای Microsoft Office غیرفعال شوند.
منبع: