توزیع بدافزار Snake Keylogger از طریق پی‌دی‌اف‌های مخرب

04 خرداد 1401 توزیع بدافزار Snake Keylogger از طریق پی‌دی‌اف‌های مخرب

روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ درحالیکه مخرب‌ترین کمپین‌های ایمیل از داکیومنت‌های ورد برای پنهان کردن و توزیع بدافزار استفاده می‌کنند، کمپین تازه کشف‌شده‌ای از فایل پی‌دی‌اف مخرب و باگ آفیسی با قدمت 22 سال برای انتشار بدافزاری موسوم به Snake Keylogger استفاده می‌کند. با ما همراه باشید تا ساز و کار این بدافزار را خدمتتان توضیح دهیم.

هدف این کمپین که محققین  HP Wolf Security کشفش کردند فریب قربانیان با فایل پیوست پی‌دی‌اف است؛ فایلی که وانمود می‌کند اطلاعاتی در مورد پرداخت حواله دارد. اما در عوض بدافزار سارق داده را لود کرده برای جلوگیری از شناسایی شدن از تاکتیک‌های سخت طفره‌روی استفاده می‌کند. پاتریک شالپفر محقق HP Wolf Security چنین می‌گوید، «گرچه فرمت‌های آفیس بسیار محبوبند اما این کمپین نشان داد مهاجمین هنوز هم دارند برای آلوده کردن سیستم‌ها از داکیومنت‌های پی‌دی‌اف مسلح استفاده می‌کنند. بدافزار پی‌دی‌اف هنوز نمرده است».

به طور حتم مهاجمینی که از کمپین‌های ایمیل آلوده استفاده می‌کنند در طول دهه گذشته ترجیحشان این بوده که بدافزار را در فرمت‌های فایل آفیس مایکروسافت بسته‌بندی کنند؛ بخصوص ورد و اکسل. در سه ماهه‌ی اول سال 2022 به تنهایی حدود نیمی از بدافزارها (45 درصد) در فرمت‌های آفیس توسط HP Wolf Security متوقف شدند. محقق شالپفر در ادامه می‌گوید، «دلایل هم روشن است: کاربران با این نوع فایل‌ها آشنایی دارند، اپ‌هایی که آن‌ها را باز می‌کنند جامعند و مناسب فریب‌های مهندسی اجتماعی». هنوز گرچه این کمپین جدید از پی‌دی‌اف برای فریب فایل استفاده می‌کند اما در ادامه مایکروسافت ورد را برای ارسال پی‌لود نهایی –یعنی همان Snake Keylogger- به کار می‌بندد. Snake Keylogger بدافزاری است ساخت .NET که اولین بار اواخر 2020 نمود پیدا کرد و هدفش هم سرقت اطلاعات حساس از دستگاه قربانی بود؛ از جمله اطلاعات محرمانه ذخیره‌شده، ضربات کلید کیبورد قربانی، اسکرین‌شات‌هایی از اسکرین قربانی و داده‌های کلیپ‌بورد.

کمپین نامعمول

تیم HPW Wolf Security در تاریخ 23 مارس متوجه کمپین تهدید تازه‌ای مبتنی بر پی‌دی‌اف شد. این زنجیره نامعمول آلودگی نه تنها شامل پی‌دی‌اف می‌شد بلکه ترفندهای طفره‌روی از شناسایی نامعمولی هم در آن بکار گرفته می‌شد؛ مانند جاگذاری فایل‌های مخرب، لود اکسپلویت‌های از راه دور میزبانی‌شده و رمزگذاری شل‌کد (کد پوسته). مهاجمین با ایمیل‌هایی شامل داکیومنت پی‌دی‌اف به نام REMMITANCE INVOICE.pdf در قالب پیوست قربانیان را هدف قرار می‌دهند. اگر کسی فایل را باز کند ادوبی ریدر کاربر را مجبور می‌کند فایل .docx را با نامی عجیب باز کنند. مهاجمین مخفیانه داکیومنت ورد را نامگذاری می‌کنند. با این حال طوری این کار انجام می‌شود که گویی این اسم فایل بخشی است از درخواست ادوبی‌ریدر. فایل .docx در قالب شیء  EmbeddedFile داخل پی‌دی‌اف که  اگر روی ورد مایکروسافت کلیک شود باز می‌شود ذخیره می‌شود. اگر Protected View غیرفعال باشد، ورد از سرور وب که بعداً در بطن داکیومنت بازشده اجرا می‌شود فایل فرمت .rtf را دانلود می‌کند. محققین محتوای .rtf را که فایل آفیس بازشده‌ی XML  است از حالت‌ زیپ‌شده برداشتند و متوجه یوآرالی شدند پنهان در فایل document.xml.rels که به گفته آن‌ها دامنه‌ قانونی در داکیومنت‌های آفیس نداشته است.

اکسپلویت باگی به قدمت 17 سال

اتصال به این یوآرال به ریدایرکت منجر می‌شود و بعدش دانلود داکیومنت RTF به نام f_document_shp.doc. این داکیومنت حاوی دو شیء OLE با ساختار نادرست بود که نشان داد کد پوسته داشته از  CVE-2017-11882 سؤاستفاده می‌کرده. این آسیب‌پذیری به گفته محققین یک RCE در Equation Editor بوده است که بیش از 4 سال قدمت داشته. Equation Editor در واقع اپی است که در بسته آفیس به طور پیش‌فرض نصب است و برای درج و ادیت معادلات پیچیده بعنوان آیتم‌های OLE[1] در داکیومنت‌های مایکروسافت ورد استفاده می‌شود. با این حال چنین به نظر می‌رسد که این باگ که مهاجمین توسط آن کمپین خود را راه‌انداختند همانی است که مایکروسافت بیش از چهار سال پیش پچ می‌کرده- از سال 2017 با دقیق‌تر 17 سال پیش که می‌شود گفت قدمتی 22 سال! به عنوان اقدام آخر حمله محققین شل‌کدی را ذخیره‌شده در ساختار OLENativeStream پیدا کردند؛ شل کدی در انتهای اشیاء  OLE. این کد در نهایت متن رمزی را رمزگشایی کرده که کاشف بعمل می‌آید چیزی بیش از یک شل‌کد بوده است. سپس برای منجر شدن به فایل قابل‌اجرایی به نام  fresh.exe به کار گرفته می‌شود و آن فایل Snake Keylogger را لود می‌کند.

 

[1]  Object Linking and Embedding

 

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.

محصولات مرتبط

  • Kaspersky Internet Security for Android

    امنیت پیشرفته‌ای که همیشه همراه شماست بخش مهمی از زندگی اکثر ما اکنون روی گوشی‌ها و تبلت‌هاست- پس به امنیت موبایلی نیاز دارید که شما را همیشه امن نگه ...

    7,710,150 ریال
    خرید
  • Kaspersky Cloud Password Manager

    Kaspersky Cloud Password Manager ابزار مدیریت کلمه عبور ابری کسپرسکی (KCPM) ضمن ذخیره ایمن تمامی کلمات عبور مورد استفاده شما برای وبسایت‌ها، اپلیکیشن‌ها، و شبکه‌های اجتماعی آنها را در تمامی ...

    11,568,900 ریال
    خرید
  • Kaspersky Safe Kids

    اپلیکیشن همه‌کاره برای فرزندپروریِ دیجیتال و سلامت خانواده نرم افزار امنیت کودکان کسپرسکی، نظارت‌های والدین را آسان می‌کند. ردیابی مکان و عادات دستگاه، محدودسازی محتوا، متعادل‌سازی ...

    1,156,890 ریال11,568,900 ریال
    خرید
  • Kaspersky Security Cloud Personal

    تمام اپ‌های امنیتیِ ما در دستانتان. به کل خانواده‌ی اپ‌های ما برای دسکتاپ و موبایل دسترسی پیدا کنید. از آنتی‌ویروس گرفته تا ابزارهای حریم خصوصی و اجرایی، هر کدام را به میل ...

    77,167,650 ریال
    خرید
  • Kaspersky Standard

    سیستم امنیتی بهبودیافته به همراه تقویت‌کننده عمکرد دستگاه طرح امنیتی استاندارد ما، نه تنها سیستم امنیتی قدرتمندی را برای انواع ویروس‌ها، بدفزارها و باج‌افزارها ارائه می‌دهد ...

    10,914,750 ریال21,829,500 ریال
    خرید
  • Kaspersky Plus

    امنیت. کارایی. حریم خصوصی. همه در یک برنامه با کاربری آسان کسپرسکی پلاس با ارائه امنیت سایبری نسل بعد، شما در برابر ویروس‌ها، باج‌افزارها و بدافزارهای جدید محافظت کند - بدون ...

    15,651,825 ریال31,303,650 ریال
    خرید
  • Kaspersky Premium

    حفاظت کامل از دستگاه ها، حریم خصوصی و هویت شما با محصول Kaspersky Premium تمام نیازهای امنیتی خود و خانواده‌تان را پوشش دهید. حفاظت پیشرفته ...

    16,743,300 ریال33,486,600 ریال
    خرید
  • Kaspersky Small Office Security

    محافظت در حین کار Kaspersky Small Office Security به طور خاص برای سازمان‌هایی طراحی شده است که 5 تا 50 دستگاه کامپیوتر در خود جای داده‌اند. نصب آن بسیار آسان است؛ مدیریت آن ...

    69,453,825 ریال138,907,650 ریال
    خرید
  • Kaspersky Small Office Security

    امنیت ادارات کوچک

    222,256,650 ریال
    خرید
  • Kaspersky Small Office Security

    امنیت ادارات کوچک

    83,345,325 ریال166,690,650 ریال
    خرید
  • Kaspersky Small Office Security

    267,018,150 ریال
    خرید
  • Kaspersky Small Office Security

    97,236,825 ریال194,473,650 ریال
    خرید
  • Kaspersky Small Office Security

    311,007,900 ریال
    خرید
  • Kaspersky Small Office Security

    111,128,325 ریال222,256,650 ریال
    خرید
  • Kaspersky Small Office Security

    355,769,400 ریال
    خرید
  • Kaspersky Small Office Security

    125,019,825 ریال250,039,650 ریال
    خرید
  • Kaspersky Small Office Security

    399,759,150 ریال
    خرید
  • Kaspersky Small Office Security

    127,335,075 ریال254,670,150 ریال
    خرید
  • Kaspersky Small Office Security

    407,476,650 ریال
    خرید
  • Kaspersky Small Office Security

    179,428,200 ریال358,856,400 ریال
    خرید
  • Kaspersky Small Office Security

    574,174,650 ریال
    خرید
  • Kaspersky Small Office Security

    231,521,325 ریال463,042,650 ریال
    خرید
  • Kaspersky Small Office Security

    740,872,650 ریال
    خرید
  • Kaspersky Small Office Security

    279,755,700 ریال559,511,400 ریال
    خرید
  • Kaspersky Small Office Security

    895,222,650 ریال
    خرید
  • Kaspersky Small Office Security

    530,574,450 ریال1,061,148,900 ریال
    خرید
  • Kaspersky Small Office Security

    1,697,842,650 ریال
    خرید

نظر خودتان را ارسال کنید


کاربر گرامی چنانچه تمایل دارید، نقد یا نظر شما به نام خودتان در سایت ثبت شود، لطفاً وارد سایت شوید.
*نظر
کلیه حقوق مادی و معنوی این سایت محفوظ و متعلق به شرکت گسترش خدمات تجارت الکترونیک ایرانیان است و هر گونه کپی برداری از آن پیگرد قانونی دارد