به تازگی بدافزار جدیدی با نام Zyklon کشف شده که از آسیبپذیریهای نسبتا جدید در مایکروسافت آفیس بهرهبرداری میکند. این بدافزار از اوایل سال ۲۰۱۶ میلادی فعال بوده و قابلیتهای زیادی اعم از اجرای حملات منع سرویس توزیعشده، ضبط کلیدهای فشردهشده، سرقت پسوردها و استخراج ارز مجازی را در اختیار مهاجمان قرار میدهد.
حملهی اخیر سازمانهای مخابراتی، بیمه و سرویسهای مالی را هدف قرار داده است. این بدافزار در قالب یک فایل ZIP که به یک هرزنامه ضمیمه شده توزیع میگردد. در این فایل ZIP چند سند ورد وجود دارد که از ۳ آسیبپذیری مایکروسافت آفیس بهرهبرداری کرده و یک اسکریپت پاورشل را تحویل میدهند که در ادامه از سرور راه دور، بار دادهی بدافزار Zyklon را دانلود میکند. یکی از آسیبپذیریهایی که این بدافزار بهرهبرداری میکند دارای شناسهی CVE-2017-8759 است. این آسیبپذیری در سپتامبر سال ۲۰۱۷ میلادی توسط مایکروسافت وصله شده است و قبلا در حملات فعال برای توزیع جاسوسافزار مورد بهرهبرداری قرار گرفته بود. این آسیبپذیری در ادامه نیز توسط نفوذگران چینی برای هدف قرار دادن سازمانهای آمریکایی مورد بهرهبرداری قرار گرفت.
یکی دیگر از آسیبپذیریها که توسط این بدافزار مورد بهرهبرداری قرار گرفته، دارای شناسهی CVE-2017-11882 است. این آسیبپذیری ۱۷ ساله در مولفهی ویرایشگر معادلات وجود داشت و در نوامبر سال قبل توسط مایکروسافت وصله شد. مهاجمان از ویژگی تبادل دادهی پویا در مایکروسافت آفیس نیز بهرهبرداری کرده و به توزیع بدافزار پرداختهاند. این ویژگی توسط گروههای مختلف نفوذ مورد بهرهبرداری قرار گرفت و در نهایت مایکروسافت مجبور شد برای جلوگیری از حملات، در تمامی نسخههای مایکروسافت ورد، این ویژگی را غیرفعال کند.
هریک از این اسناد مخرب اگر بتواند از یکی از این آسیبپذیریها با موفقیت بهرهبرداری کند، در ادامه اسکریپت پاورشل دانلود میشود که در نهایت می تواند بار دادهی این بدافزار را واکشی و دانلود کند. این بدافزار برای ارتباط با سرور دستور و کنترل از شبکهی گمنامی Tor استفاده میکند. وقتی ارتباط با سرور دستور و کنترل برقرار شد، مهاجم میتواند دستورات مختلفی را مانند اجرای حملات منع سرویس توزیعشده، سرقت پسوردها و استخراج ارز مجازی را برای بدافزار ارسال کند.
علاوه بر قابلیتهایی که در ذات این بدافزار تعبیه شده، افزونههای دیگری هم دارد که میتواند برای اضافه شدن قابلیتها و ویژگیهای بیشتر، در بدافزار بارگذاری شود. بدافزار همچنین میتواند یک پروکسی Socks5 را در ماشین قربانی راهاندازی کند، حافظهی موقت را به سرقت برده و آدرسهای بیتکوینی که قربانی کپی کرده را با آدرس بیتکوین مهاجم جایگزین کند.