محققان امنیتی گزارش دادند که در یک حمله ی مخرب با آلودگی چند مرحله ای، بدافزاری بر روی سیستم قربانیان نصب می شود که قابلیت سرقت پسوردهای قربانی بر روی نرم افزارهای مختلف را دارد. این حملات با هرزنامه هایی شروع می شود که توسط بات نت Necurs ارسال شده اند و حاوی اسنادی است که ماکرو در آن ها تعبیه شده است. این اسناد معمولا اسنادی مانند مایکروسافت ورد، اکسل و پاورپوینت هستند.
در این پویش، اسناد DOCX دارای اشیاء OLE هستند که در آنها تعبیه شده که دارای ارجاع خارجی هستند. در نتیجه دسترسی خارجی از شی OLE راه دور وجود داشته که در document.xml.rels به آن ارجاع داده شده است. به محض اینکه قربانی این سند را باز میکند، به یک سند راه دور در آدرس hxxp://gamestoredownload[.]download/WS-word2017pa[.]doc دسترسی پیدا میکند. هرچند که پسوند این فایل .doc است ولی در واقع یک سند RTF محسوب میشود.
این سندِ راه دور پس از اجرا شدن بر روی سیستم قربانی، تلاش میکند تا از آسیبپذیری با شناسهی CVE-2017-11882 بهرهبرداری کند. این آسیبپذیری در Equation Editor آفیس وجود داشته و مایکروسافت، نوامبر سال گذشته آن را وصله کرده است. ولی با این حال این آسیبپذیری بر روی بسیاری از سیستمها وصله نشده و بهطور گسترده مورد بهرهبرداری قرار میگیرد.
فایل RTF خط فرمان MSHTA را اجرا میکند تا یک فایل HTA راه دور را دانلود و اجرا کند. این فایل جدید حاوی VBScript بوده که مبهمسازی شده و پس از کدگشایی به یک اسکریپت پاورشل تبدیل میشود که قرار است یک فایل باینری را از راه دور واکشی و اجرا کند. این فایل باینری، بار دادهی نهایی است که به سرقت پسوردهای قربانی از برنامههای مختلف اقدام میکند. برای این منظور، بدافزار رشتههای موجود در حافظه را با هم الحاق کرده و با استفاده از واسطهای برنامهنویسی RegOpenKeyExW و PathFileExistsW بررسی میکند که آیا رجیستری و یا مسیر برنامههای مختلف در آن وجود دارد یا خیر.
مشاهده شده است که این بدافزار، اطلاعاتی که از سیستم قربانی بدست آورده را با استفاده از درخواستهای HTTP POST به سمت سرور دستور و کنترل خود ارسال کرده است. یکی از نکات مهم و قابل توجه در این حمله این است که بار دادهی مخرب و نهایی، در طول یک فرآیند چندمرحلهای بر روی ماشین قربانی نصب میشود. محققان اشاره کردند که این فرآیند چندمرحلهای برای آلوده کردن سیستم قربانی، برای نویسندهی بدافزار ریسک بالایی دارد. همچنین اشاره شده که در این حمله از فایلهایی مانند DOCX ،RTF و HTA استفاده میشود که معمولا توسط دروازهی شبکه و یا سرویسهای ایمیل مسدود میشود.