انتقال مخفیانه بدافزار با Microsoft Word

امتیاز کاربران

ستاره فعالستاره فعالستاره فعالستاره فعالستاره فعال
 

انتقال مخفیانه بدافزار با Microsoft Word

q1054

پژوهشگران روشی را برای انتقال مخفیانه بدافزار از طریق نرم‌افزار Microsoft Word شناسایی کردند.

یک روش مخفی انتقال بدافزار کشف شده‌است که مهاجم، ویدئویی را در اسناد Microsoft Word قرار می‌دهد که کاربر پس از کلیک روی ویدئو درج‌شده در سند، باعث می‌شود تا کد جاوااسکریپت موجود اجرا شود.

پژوهشگران Cymulate حمله اثبات مفهومی (PoC) این روش را ایجاد کردند که با استفاده از یک لینک ویدئو YouTube و یک سند ایجاد شده‌است.

ویژگی درج ویدئو در Word یک اسکریپت HTML در پشت تصویر ویدئو (thumbnail) ایجاد می‌کند که پس از کلیک روی تصویر ویدئو، اسکریپت ایجاد شده توسط مرورگر اینترنت اکسپلورر اجرا می‌شود.

اسکریپت HTML درج شده حاوی یک بدافزار رمزشده با Base64 است که بخش مدیریت دانلود را برای مرورگر اینترنت اکسپلورر باز می‌کند و بدافزار را نصب می‌کند. از نظر کاربر، ویدئو کاملا قانونی به‌نظر می‌رسد، اما بدافزار به‌طور مخفیانه و در پس‌زمینه نصب می‌شود.

به گفته پژوهشگران با بهره‌برداری موفق از این آسیب‌پذیری، اجرای هر کدی ازجمله نصب باج‌افزار یا تروجان ممکن‌ خواهدبود. ممکن است برنامه‌های ضد ویروس بدنه منتقل شده را شناسایی کنند، اما سوءاستفاده از بدنه‌های روز صفر می‌تواند بهترین بازدهی را برای مهاجمان داشته‌باشد.

مهاجم باید قربانی را مجاب کند سند مخرب را باز کند و روی ویدئو درج شده کلیک کند، از این رو استفاده از مهندسی اجتماعی و فیشینگ بهترین روش حمله است. نکته دیگر این است که برنامه Word هیچ هشداری را پس از کلیک روی ویدئو درج شده نمایش نمی‌دهد.

پژوهشگران گفته‌اند که این رویکرد به‌طور بالقوه تمامی کاربران Office ۲۰۱۶ و قدیمی‌تر را تحت تاثیر قرار می‌دهد. برای محافظت از این رویکرد، سازمان‌ها باید اسناد Word حاوی ویدئوهای درج شده را مسدود کنند و از به‌روز بودن برنامه ضدویروس مطمئن شوند. اسناد Word که دارای تگ embeddedHtml در فایل Document.xml اسناد Word هستند نیز باید مسدود شوند.
مرجع : مرکز مدیریت راهبردی افتا