بدافزار Asruex از آسیب‌پذیری‌های قدیمی برای آلوده کردن اسناد ورد و پی‌دی‌اف بهره‌برداری می‌کند

ترند میکرو گزارش می‌دهد که نسخه‌ی جدید Asruex که به‌تازگی مشاهده شده است، به‌عنوان یک آلوده‌کننده عمل می‌کند و آسیب‌پذیری‌های موجود در مایکروسافت آفیس و ادوبی ریدر و آکروبات ۹٫x را هدف قرار می‌دهد.

بدافزار Asruex اولین بار در سال ۲۰۱۵ میلادی کشف شد و قبلاً با جاسوس‌افزار DarkHotel مرتبط بوده است. به نظر می‌رسد این بدافزار علاوه‌بر قابلیت‌های درب‌پشتی، قادر است تا با هدف قرار دادن دو آسیب‌پذیری قدیمی که با شناسه‌ی CVE-2012-0158 و CVE-2010-2883 ردیابی می‌شود، داخل فایل‌های ورد و پی‌دی‌اف کد تزریق ‌کند.

با توجه به این‌که پژوهش‌گران امنیتی ممکن است فایل‌ها را برای آلودگی Asruex بررسی نکنند و تنها بر قابلیت‌های درب‌پشتی آن نظارت کنند، این قابلیت‌های آلوده‌سازی منحصر به فرد به‌طور بالقوه شناسایی حملات را سخت می‌کند. استفاده از آسیب‌پذیری‌های وصله‌شده‌ی قدیمی نشان می‌‌دهد که این نسخه به‌گونه‌ای طراحی شده است که می‌تواند اهدافی را که از نسخه‌های قدیمی‌تر ادوبی ریدر (نسخه‌های ۹٫x تا نسخه‌ی ۹٫۴) و اکروبات (نسخه‌های ۸٫x تا ۸٫۲٫۵) در ویندوز و Mac OS X استفاده می‌کنند، تحت تأثیر قرار دهد.

برای آلوده کردن دستگاه‌ها، Asruex از یک فایل میان‌بر با یک اسکریپت بارگیری پاورشل استفاده می‌کند. این بدافزار برای انتشار خود از درایوهای قابل جابجایی و درایوهای شبکه استفاده می‌کند. نسخه‌ای که به‌تازگی مشاهده شده است اولین بار در قالب یک فایل پی‌دی‌اف کشف شد که توسط عاملان پشت این تهدید ایجاد نشده بود، اما توسط این نسخه از Asruex آلوده شده بود.

این فایل درصورتی‌که بااستفاده از نسخه‌های قدیمی‌تر ادوبی ریدر و ادوبی اکروبات باز شود، آلوده‌کننده را توزیع و در پس‌زمینه اجرا می‌کند. محتوای فایل پی‌دی‌اف میزبان اصلی همچنان نمایش داده می‌شود یعنی بعید است که کاربر چیز مشکوکی مشاهده کند.

فایل اجرایی توزیع‌شده حاوی چند تابع ضد اشکال‌زدایی و ضد شبیه‌سازی است. فایل Sandbox\WINDOWS\system32\kernel32.dll با تأیید نام رایانه، نام کاربری، توابع صادرشده توسط مؤلفه‌های بارگذاری‌شده، نام فایل‌ها، فرآیندهای درحال اجرا، نسخه‌ی مؤلفه‌ی فرآیند درحال اجرا و رشته‌های خاص در نام دیسک‌ها بررسی می‌کند که آیا در یک محیط جعبه‌ی شنی اجرا می‌شود یا خیر.

این فایل همچنین داخل حافظه‌ی یک فرآیند ویندوز قانونی، یک فایل DLL تزریق می‌کند که مسئول قابلیت‌های آلوده‌سازی و درب‌پشتی بدافزار است و فایل‌هایی با سایز ۴۲٬۲۲۴ بایت و ۲۰٬۹۷۱٬۵۲۰ بایت را به‌عنوان پارامتری برای محدود کردن بیشتر فایل‌های میزبان به‌اندازه‌ای که کد بدافزاری آن‌ها بتواند متناسب باشد، آلوده می‌کند.

از طرف دیگر، آسیب‌پذیری CVE-2012-0158 امکان انجام حملاتی با توانایی اجرای کد دلخواه به‌صورت از راه دور را از طریق یک سند ورد یا وب‌گاه فراهم می‌کند. فرآیند آلودگی شبیه روشی است که از پی‌دی‌اف‌ها استفاده می‌کند. علاوه‌بر اسناد ورد و فایل‌های پی‌دی‌اف، این بدافزار فایل‌های اجرایی را آلوده می‌کند و فایل اجرایی یا میزبان اصلی را رمزنگاری و فشرده‌سازی می‌کند و آن را به‌عنوان بخش .EBSS‌ خود اضافه می‌کند.

منبع