روابط عمومی شرکت ایدکو (توزیعکنندهی محصولات کسپرسکی در ایران)؛ درحالیکه مخربترین کمپینهای ایمیل از داکیومنتهای ورد برای پنهان کردن و توزیع بدافزار استفاده میکنند، کمپین تازه کشفشدهای از فایل پیدیاف مخرب و باگ آفیسی با قدمت 22 سال برای انتشار بدافزاری موسوم به Snake Keylogger استفاده میکند. با ما همراه باشید تا ساز و کار این بدافزار را خدمتتان توضیح دهیم.
هدف این کمپین که محققین HP Wolf Security کشفش کردند فریب قربانیان با فایل پیوست پیدیاف است؛ فایلی که وانمود میکند اطلاعاتی در مورد پرداخت حواله دارد. اما در عوض بدافزار سارق داده را لود کرده برای جلوگیری از شناسایی شدن از تاکتیکهای سخت طفرهروی استفاده میکند. پاتریک شالپفر محقق HP Wolf Security چنین میگوید، «گرچه فرمتهای آفیس بسیار محبوبند اما این کمپین نشان داد مهاجمین هنوز هم دارند برای آلوده کردن سیستمها از داکیومنتهای پیدیاف مسلح استفاده میکنند. بدافزار پیدیاف هنوز نمرده است».
به طور حتم مهاجمینی که از کمپینهای ایمیل آلوده استفاده میکنند در طول دهه گذشته ترجیحشان این بوده که بدافزار را در فرمتهای فایل آفیس مایکروسافت بستهبندی کنند؛ بخصوص ورد و اکسل. در سه ماههی اول سال 2022 به تنهایی حدود نیمی از بدافزارها (45 درصد) در فرمتهای آفیس توسط HP Wolf Security متوقف شدند. محقق شالپفر در ادامه میگوید، «دلایل هم روشن است: کاربران با این نوع فایلها آشنایی دارند، اپهایی که آنها را باز میکنند جامعند و مناسب فریبهای مهندسی اجتماعی». هنوز گرچه این کمپین جدید از پیدیاف برای فریب فایل استفاده میکند اما در ادامه مایکروسافت ورد را برای ارسال پیلود نهایی –یعنی همان Snake Keylogger- به کار میبندد. Snake Keylogger بدافزاری است ساخت .NET که اولین بار اواخر 2020 نمود پیدا کرد و هدفش هم سرقت اطلاعات حساس از دستگاه قربانی بود؛ از جمله اطلاعات محرمانه ذخیرهشده، ضربات کلید کیبورد قربانی، اسکرینشاتهایی از اسکرین قربانی و دادههای کلیپبورد.
کمپین نامعمول
تیم HPW Wolf Security در تاریخ 23 مارس متوجه کمپین تهدید تازهای مبتنی بر پیدیاف شد. این زنجیره نامعمول آلودگی نه تنها شامل پیدیاف میشد بلکه ترفندهای طفرهروی از شناسایی نامعمولی هم در آن بکار گرفته میشد؛ مانند جاگذاری فایلهای مخرب، لود اکسپلویتهای از راه دور میزبانیشده و رمزگذاری شلکد (کد پوسته). مهاجمین با ایمیلهایی شامل داکیومنت پیدیاف به نام REMMITANCE INVOICE.pdf در قالب پیوست قربانیان را هدف قرار میدهند. اگر کسی فایل را باز کند ادوبی ریدر کاربر را مجبور میکند فایل .docx را با نامی عجیب باز کنند. مهاجمین مخفیانه داکیومنت ورد را نامگذاری میکنند. با این حال طوری این کار انجام میشود که گویی این اسم فایل بخشی است از درخواست ادوبیریدر. فایل .docx در قالب شیء EmbeddedFile داخل پیدیاف که اگر روی ورد مایکروسافت کلیک شود باز میشود ذخیره میشود. اگر Protected View غیرفعال باشد، ورد از سرور وب که بعداً در بطن داکیومنت بازشده اجرا میشود فایل فرمت .rtf را دانلود میکند. محققین محتوای .rtf را که فایل آفیس بازشدهی XML است از حالت زیپشده برداشتند و متوجه یوآرالی شدند پنهان در فایل document.xml.rels که به گفته آنها دامنه قانونی در داکیومنتهای آفیس نداشته است.
اکسپلویت باگی به قدمت 17 سال
اتصال به این یوآرال به ریدایرکت منجر میشود و بعدش دانلود داکیومنت RTF به نام f_document_shp.doc. این داکیومنت حاوی دو شیء OLE با ساختار نادرست بود که نشان داد کد پوسته داشته از CVE-2017-11882 سؤاستفاده میکرده. این آسیبپذیری به گفته محققین یک RCE در Equation Editor بوده است که بیش از 4 سال قدمت داشته. Equation Editor در واقع اپی است که در بسته آفیس به طور پیشفرض نصب است و برای درج و ادیت معادلات پیچیده بعنوان آیتمهای OLE[1] در داکیومنتهای مایکروسافت ورد استفاده میشود. با این حال چنین به نظر میرسد که این باگ که مهاجمین توسط آن کمپین خود را راهانداختند همانی است که مایکروسافت بیش از چهار سال پیش پچ میکرده- از سال 2017 با دقیقتر 17 سال پیش که میشود گفت قدمتی 22 سال! به عنوان اقدام آخر حمله محققین شلکدی را ذخیرهشده در ساختار OLENativeStream پیدا کردند؛ شل کدی در انتهای اشیاء OLE. این کد در نهایت متن رمزی را رمزگشایی کرده که کاشف بعمل میآید چیزی بیش از یک شلکد بوده است. سپس برای منجر شدن به فایل قابلاجرایی به نام fresh.exe به کار گرفته میشود و آن فایل Snake Keylogger را لود میکند.
[1] Object Linking and Embedding
منبع: کسپرسکی آنلاین (ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.