یک فایل پاورپوینت به این شکل کامپیوتر شما را آلوده می‌کند

آداک فن آوری ماینا

به تازگی کمپین بدافزاری جدیدی از سوی کارشناسان امنیتی شناسایی شده که از آسیب‌پذیری فوق استفاده می‌کند. اما برای اولین بار بدافزار فوق در پس زمینه فایل‌های پاورپوینت پنهان شده و از طریق ضمیمه‌های آلوده ایمیلی و در قالب فیشینگ کاربران را هدف قرار داده است.

بر اساس گزارش منتشر شده از سوی کارشناسان شرکت ترندمیکرو، کمپین بدافزاری شناسایی شده از طریق یک ارائه‌دهنده سرویس‌های کابلی توزیع شده و سعی می‌کند با یک پیغام ایمیلی قانع کننده مخاطب خود را مجاب کند که ایمیل را باز کند. ترندمیکرو گفته است که این کمپین عمدتا صنایع فعال در حوزه الکترونیک را هدف قرار داده است.

 

 

حمله فوق چگونه به مرحله اجرا در می‌آید؟

این حمله در چند مرحله انجام می‌شود. در مرحله اول یک ایمیل فیشینگ همراه با ضمیمه آلوده پاورپوینت ارسال می‌شود. در متن ایمیل ارسالی نوشته شده است اطلاعات مهمی در ارتباط با سفارش‌های مشتری باید در اختیار قربانی قرار گیرد. در مرحله دوم هنگامی که فایل باز شد، پاورپوینت یک فایل XML را فراخوانی می‌کند. فایل فوق به گونه‌ای ساخته شده که از راه دور فایلی به نام logo.doc را دانلود کرده و در ادامه از طریق ویژگی پویانمایی “نمایش پاورپوینت” این فایل را اجرا می‌کند.

 

در مرحله سوم فایل مخرب Logo.doc از آسیب‌پذیری  CVE-2017-0199 استفاده می‌کند. این آسیب‌پذیری به هکرها اجازه می‌دهد فایل مخرب RATMAN.exe را روی سیستم قربانی نصب کند. در مرحله چهارم RATMAN.exe که نسخه آلوده شده‌ای از ابزار Remcos Remote Control است روی سیستم قربانیان نصب می‌شود. ابزار فوق به هکرها اجازه می‌‌دهد از راه دور سیستم‌های آلوده قربانیان را از طریق سرور کنترل و فرمان‌دهی تحت کنترل و نظارت قرار دهند. ابزار Remcos یک ابزار قانونی است که برای دسترسی از راه دور به سامانه‌های کامپیوتری و کنترل سامانه‌ها مورد استفاده قرار می‌گیرد. اما هکرها می‌توانند از ابزار فوق به منظور دانلود و اجرای دستورات، نصب روباینده کلیدها، تهیه اسکرین‌شات و ضبط ویدیو از میکروفون و وب‌کم استفاده کنند. بهره‌برداری از فایل‌های پاورپوینت به هکرها اجازه می‌دهد از سد مکانیزم امنیتی تشخیص بدافزار عبور کنند. برای پیشگیری از آلوده شدن به این بدافزار باید جدیدترین وصله‌های مایکروسافت را روی سامانه خود نصب کنید. 

 

نوشته های مرتبط
یک پاسخ بنویسید

نشانی ایمیل شما منتشر نخواهد شد.فیلد های مورد نیاز علامت گذاری شده اند *