توزیع بدافزاری با پرونده‌های پاورپوینت

امتیاز کاربران

ستاره غیر فعالستاره غیر فعالستاره غیر فعالستاره غیر فعالستاره غیر فعال
 

بدافزارها با پاورپوینت منتشر می‌شوند

q68

دانشمندان امنیتی می‌گویند این احتمال وجود دارد که از پرونده‌های پاورپوینت در حملات هدفمند برای توزیع بدافزار استفاده شود.

محققان امنیتی هشدار دادند که مهاجمان از یک پرونده‌ مخرب پاورپوینت به همراه یک آسیب‌پذیری وصله‌شده در مایکروسافت بهره‌برداری کرده و سازمان ملل متحد، وزارت‌خانه‌های امور خارجه و سازمان‌های بین‌المللی را هدف قرار می‌دهند.

در این حملات از یک پرونده‌ مخرب با نام ADVANCED DIPLOMATIC PROTOCOL AND ETIQUETTE SUMMIT.ppsx و آسیب‌پذیری با شناسه‌ CVE-۲۰۱۷-۰۱۹۹ بهره‌برداری می‌شود. گفته می‌شود شرکت مایکروسافت این آسیب‌پذیری را در ماه آوریل وصله کرده‌است. قبلا نیز مهاجمان از این آسیب‌پذیری برای توزیع بدافزارهایی مانند Dridex ،WingBird ،Latentbot و Godzilla بهره‌برداری شده‌بود. این بهره‌برداری همچنان در فضای مجازی موجود بوده و مهاجمان در حملات خود از آن استفاده می‌کنند.

ماه قبل نیز شاهد بودیم که در حملاتی از پرونده‌های پاورپوینت به همراه بهره‌برداری از آسیب‌پذیری CVE-۲۰۱۷-۰۱۹۹ برای توزیع بدافزار استفاده‌می‌شد. در این حملات نسخه‌ آلوده به تروجان REMCOS و تروجان‌های دسترسی از راه دور توزیع می‌شد. زمانی که در پرونده‌ پاورپوینت، ویژگی «نمایش اسلاید» باز می‌شود، یک اسکریپت راه‌اندازی شده و بهره‌برداری موردنظر، یک کد راه دور را از یک پرونده‌ XML به همراه جاوا اسکریپت از دامنه‌ narrowbabwe[.]net. بارگیری می‌کند. در ادامه آن را با استفاده از ویژگی «نمایش اسلاید» در پاورپوینت اجرا می‌کند.

این بهره‌برداری همچنین قادر است کنترل حساب کاربری را با سرقت رجیستری دور زده و در ادامه پرونده‌ eventvwr.exe را اجرا کند. دور زدن این ویژگی برای اولین‌بار در ماه اوت سال ۲۰۱۶ میلادی مورد بررسی قرار گرفت. جاوا اسکریپتی که در داخل پرونده‌ XML وجود دارد، می‌تواند پرونده‌ای را در دایرکتوری نوشته و خود را در قالب وصله‌ای برای مایکروسافت آفیس جا بزند.

این اسکریپت همچنین این قابلیت را دارد که تشخیص دهد که آیا در داخل ماشین مجازی اجرا می‌شود و یا خیر. اگر اسکریپت تشخیص دهد که در داخل ماشین مجازی اجرا نمی‌شود، می‌تواند فرایند خود را ادامه داده و داده‌هایی را برای کارگزار راه دور ارسال کند. هرچند در زمان تحلیل این حملات، کارگزارهای دستور و کنترل آن از کار افتاده است، ولی محققان می‌گویند پاسخ‌هایی که کارگزار ارسال می‌کرد حاوی دستورات مختلفی بود که با استفاده از تابع eval() اجرا می‌شدند. پس از اجرای دستورات، اسکریپت اعلانی را به سمت کارگزار ارسال می‌کرد.

محققان می‌گویند احتمالا با اجرای این دستورات، بار داده‌ نهایی بدافزار بارگیری می‌شد. محققان سیسکو ماه گذشته کشف کردند که مهاجمان از بهره‌برداری‌های آفیس برای دور زدن سامانه‌های امنیتی و افزایش نرخ تحویل بدافزارها استفاده می‌کنند. محققان اخیرا نیز متوجه شدند که مهاجمان می‌توانند در داخل یک کد، روش‌های مختلفی را پیاده‌سازی کنند و از تشخیص فرار کرده و امتیازات خود را ارتقا دهند.