آلودهسازی دستگاه با فایل Word، بدون استفاده از ماکرو
گروهی از مهاجمان با اجرای حملاتی چندمرحلهای در حال انتشار بدافزار خود از طریق هرزنامههای با پیوست فایل DOCX هستند.
در حالی که در اکثر حملات مشابه از قابلیت ماکرو در مجموعه نرمافزاری Office برای آلودهسازی دستگاه قربانی بهرهجویی میشود در این حملات که شرکت امنیتی Trustwave آنها را گزارش کرده از تکنیکی جدید استفاده شده است.
مراحل انتشار بدافزار توسط مهاجمان پشت پرده این حملات به شرح زیر است:
- قربانی یک هرزنامه با پیوست فایل DOCX دریافت میکند.
- قربانی فایل را باز میکند.
- در فایل DOCX یک افزونه OLE تزریق شده است؛ این افزونه یک فایل RTF را – با ظاهر DOC – دریافت کرده و بر روی دستگاه اجرا میکند.
- فایل دریافت شده از آسیبپذیری CVE-2017-11882 که مربوط به بخش Equation Editor در مجموعه نرمافزاری Office است بهره جویی میکند.
- در نتیجه این بهرهجویی یک خط فرمان MSHTA اجرا شده و فایلی HTA دریافت و اجرا میشود.
- فایل HTA حاوی یک اسکریپت VBScript است که با اجرا شدن، خود یک اسکریپت PowerShell را باز میکند.
- در نهایت اسکریپت PowerShell یک بدافزار سارق رمز عبور (Password Stealer) را دریافت کرده و بر روی دستگاه اجرا میکند.
این بدافزار رمزهای عبور وارد شده در مرورگرها و برنامههای مدیریت ایمیل و FTP اجرا شده بر روی دستگاه را ضبط و آنها را به سرور فرماندهی خود ارسال میکند.
به گزارش شرکت مهندسی شبکه گستر، بر طبق اعلام شرکت Trustwave هرزنامههای ارسال شده در جریان این حملات عناوینی همچون موارد زیر داشتهاند:
- TNT STATEMENT OF ACCOUNT – {random numbers}……………
- Request for Quotation (RFQ) – < {random numbers} >
- Telex Transfer Notification
- SWIFT COPY FOR BALANCE PAYMENT
راهکار اصلی برای مقابله با این حملات و حملاتی از این دست، علاوه بر استفاده از ضدویروس بهروز و قدرتمند اطمینان از نصب بودن اصلاحیههای امنیتی از جمله اصلاحیههای Windows و مجموعه نرمافزاری Office است. شرکت مایکروسافت، اصلاحیه آسیبپذیری بهرهجویی شده در این حملات را در ماه ژانویه سال میلادی جاری عرضه کرد.
مشروح گزارش شرکت Trustwave در اینجا قابل دریافت و مطالعه است.
توضیح اینکه نمونههای اشاره شده در گزارش مذکور با نامهای زیر قابل شناسایی میباشند:
McAfee
– Exploit-cve2017-0199.ba
– Exploit-CVE2017-11882.b
– VBS/Downloader.fp
– GenericRXCL-KZ!EDB27CC321DF
Bitdefender
– Trojan.Doc.Downloader.AGG
– Exploit.CVE-2017-11882.Gen
– VB:Trojan.Downloader.JUAU
– Trojan.PWS.ZKD