در حمله‌ی چندمرحله‌ای و مبتنی بر ماکرو، بدافزار سرقت پسورد بر روی سیستم قربانی نصب می‌شود

 

محققان امنیتی گزارش دادند که در یک حمله ی مخرب با آلودگی چند مرحله ای، بدافزاری بر روی سیستم قربانیان نصب می شود که قابلیت سرقت پسوردهای قربانی بر روی نرم افزارهای مختلف را دارد. این حملات با هرزنامه هایی شروع می شود که توسط بات نت Necurs ارسال شده اند و حاوی اسنادی است که ماکرو در آن ها تعبیه شده است. این اسناد معمولا اسنادی مانند مایکروسافت ورد، اکسل و پاورپوینت هستند.


در این پویش، اسناد DOCX دارای اشیاء OLE هستند که در آن‌ها تعبیه شده که دارای ارجاع خارجی هستند. در نتیجه دسترسی خارجی از شی OLE راه دور وجود داشته که در document.xml.rels به آن ارجاع داده شده است. به محض اینکه قربانی این سند را باز می‌کند، به یک سند راه دور در آدرس hxxp://gamestoredownload[.]download/WS-word2017pa[.]doc دسترسی پیدا می‌کند. هرچند که پسوند این فایل .doc است ولی در واقع یک سند RTF محسوب می‌شود.


این سندِ راه دور پس از اجرا شدن بر روی سیستم قربانی، تلاش می‌کند تا از آسیب‌پذیری با شناسه‌ی CVE-2017-11882 بهره‌برداری کند. این آسیب‌پذیری در Equation Editor آفیس وجود داشته و مایکروسافت، نوامبر سال گذشته آن را وصله کرده است. ولی با این حال این آسیب‌پذیری بر روی بسیاری از سیستم‌ها وصله نشده و به‌طور گسترده مورد بهره‌برداری قرار می‌گیرد.


فایل RTF خط فرمان MSHTA را اجرا می‌کند تا یک فایل HTA راه دور را دانلود و اجرا کند. این فایل جدید حاوی VBScript بوده که مبهم‌سازی شده و پس از کدگشایی به یک اسکریپت پاورشل تبدیل می‌شود که قرار است یک فایل باینری را از راه دور واکشی و اجرا کند. این فایل باینری، بار داده‌ی نهایی است که به سرقت پسوردهای قربانی از برنامه‌های مختلف اقدام می‌کند. برای این منظور، بدافزار رشته‌های موجود در حافظه را با هم الحاق کرده و با استفاده از واسط‌های برنامه‌نویسی RegOpenKeyExW و PathFileExistsW بررسی می‌کند که آیا رجیستری و یا مسیر برنامه‌های مختلف در آن وجود دارد یا خیر.


مشاهده شده است که این بدافزار، اطلاعاتی که از سیستم قربانی بدست آورده را با استفاده از درخواست‌های HTTP POST به سمت سرور دستور و کنترل خود ارسال کرده است. یکی از نکات مهم و قابل توجه در این حمله این است که بار داده‌ی مخرب و نهایی، در طول یک فرآیند چندمرحله‌ای بر روی ماشین قربانی نصب می‌شود. محققان اشاره کردند که این فرآیند چندمرحله‌ای برای آلوده کردن سیستم قربانی، برای نویسنده‌ی بدافزار ریسک بالایی دارد. همچنین اشاره شده که در این حمله از فایل‌هایی مانند DOCX ،RTF و HTA استفاده می‌شود که معمولا توسط دروازه‌ی شبکه و یا سرویس‌های ایمیل مسدود می‌شود.
 

منبع

پست‌های مشابه

Leave a Comment