احتیاط: نصب یک بدافزار بدون نیاز به Macro ها از طریق پاورپوینت

امتیاز کاربران

ستاره غیر فعالستاره غیر فعالستاره غیر فعالستاره غیر فعالستاره غیر فعال
 

قبل از خواندن کامل این مقالهMacrosرا غیرفعال کنید و اگر آن را به صورت دستی انجام می دهید هنگام باز کردن پرونده‌هایWordاحتیاط کنید.

بیش از یک دهه است که مجرمان با مورد هدف قرار دادن کامپیوترها از طریق فایل‌های مایکروسافت آفیسِ دستکاری‌ شده حمله های خود را عملی می کنند.بیشترین نوع سوء استفاده از این مشکل از طریق ضمیمه کردن فایل‌هایWordو ارسال آن‌ها از طریق اسپم ایمیل ها است.

اما یک حمله مهندسی اجتماعی جدید در سطح اینترنت کشف شده است که نیازی به فعال کردنmacrosندارد و به جای آن یک بدافزار را بر روی سیستم هدف و با استفاده از دستوراتPowerShellکه درون یک فایل پاورپوینت جاسازی شده است، اجرا می‌کند.علاوه بر این، این کدPowerShellمخرب در داخل یک پرونده مخفی شده است و هنگامی‌که شخص قربانی فلش ماوس را بر روی لینک مربوطه قرار می‌دهد، حتی بدون اینکه بر روی آن کلیک کند، یکpayloadاضافی بر روی دستگاه آلوده شده دانلود می‌شود.

محققان شرکت امنیتیSentinelOneبه تازگی کشف کرده‌اند که گروهی از مجرمان از فایل‌های پاورپوینت مخرب استفاده می‌کنند تا یک تروجان بانکی به نامZustyرا که بهTinbaیاTiny Bankerنیز معروف است، را شیوع دهند.

اگرZustyرا نمی شناسید باید بگوییم که این یک تروجان بانکی است که در سال 2012 شناسایی شد. این تروجان که قابلیت شنود ترافیک شبکه را داشت، قادر بود حملاتMan-in-The-Browserرا اجرا کند. Zustyاز این طریق برگه ‌های اضافی را به سایت‌های بانکی قانونی تزریق می‌کرد و از قربانیان درخواست می‌کرد تا داده‌های حساس بیشتری را مانند شماره کارت اعتباری،TANsو کدهای تأیید اعتبار را به اشتراک گذارند.

اما محققان شرکتSentinelOne Labsدر گزارشی گفته اند: "نوعی جدید از بدافزارها به نامZusyدر سطح اینترنت شناسایی شده که از طریق فایل ‌های پاورپوینت که به اسپم ایمیل ها پچ شده‌ اند، پخش می‌شود و عنوان اسپم ارسالی،Purchase Order #130527وConfirmationاست.این ماجرا جالب است چرا که این بدافزار نیاز به فعال بودنmacrosبرای اجرا شدن ندارد".

فایل های پاورپوینت از طریق اسپم ها گسترش می یابند و با موضوعاتی همچونConfirmationوPurchase Orderارسال می شوند. هنگامی که این ایمیل ها باز می شوند متنی با عنوانLoading…Please Waitنمایش می‌ دهند که نوعی هایپرلینک است.

هنگامی که کاربر بر روی لینک کلیک می کند، این لینک به صورت اتوماتیک تلاش می کند که یک کدPowerShellرا اجرا کند. در این هنگام ویژگی امنیتیProtected Viewکه به‌ صورت پیش‌ فرض و در بیشتر نسخه‌ های دارای پشتیبانی مایکروسافت مانند آفیس 2010 و آفیس 2013 فعال است، یک هشدار جدی را نمایش می‌دهد و کاربر را ترغیب می‌کند که محتوا را فعال یا غیرفعال کند.

در صورتیکه یک کاربر هشدار را جدی نگیرد و اجازه دهد که محتوای مربوطه دیده شود، برنامه ی مخرب به دامنه ای به نام"cccn.nl "متصل می شود که از طریق آن می‌تواند یک فایل را دانلود و اجرا کند که درنهایت مسئولیت تحویل این نوع جدید از تروجان‌های بانکی به نامZusyبر عهده دارد.

محققان لابراتوارSentinelOneمی‌گویند: “کاربران ممکن است هنوز هم به نحوی به برنامه‌ های خارجی اختیاراتی را دهند، جال این اختیارات می تواند ناشی از تنبلی, عجله و یا فقط عادت کرده‌اند کهmacrosرا بلاک کنند. همچنین بعضی از تنظیمات ممکن است در اجرای برنامه‌ های خارجی مجاز باشند که این تنظیمات درmacrosمجار نبودند".

یکی دیگر از محققان نیز این حمله جدید را آنالیز کرده استو تأیید کرده است که این حمله جدید بهmacros، جاوا اسکریپت یاVBAبرای اجرای روش خود وابسته نیست.

این حمله با هدف تکان دادن نشانگر ماوس انجام گرفته شده است. در واقع این حمله به گونه ای برنامه ریزی شده است که هنگامی ‌که کاربر ماوس خود را بر روی یک متن نگه می ‌دارد، یک برنامه را اجرا کند.