توزیع بدافزار Snake Keylogger از طریق پی‌دی‌اف‌های مخرب

04 خرداد 1401 توزیع بدافزار Snake Keylogger از طریق پی‌دی‌اف‌های مخرب

روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ درحالیکه مخرب‌ترین کمپین‌های ایمیل از داکیومنت‌های ورد برای پنهان کردن و توزیع بدافزار استفاده می‌کنند، کمپین تازه کشف‌شده‌ای از فایل پی‌دی‌اف مخرب و باگ آفیسی با قدمت 22 سال برای انتشار بدافزاری موسوم به Snake Keylogger استفاده می‌کند. با ما همراه باشید تا ساز و کار این بدافزار را خدمتتان توضیح دهیم.

هدف این کمپین که محققین  HP Wolf Security کشفش کردند فریب قربانیان با فایل پیوست پی‌دی‌اف است؛ فایلی که وانمود می‌کند اطلاعاتی در مورد پرداخت حواله دارد. اما در عوض بدافزار سارق داده را لود کرده برای جلوگیری از شناسایی شدن از تاکتیک‌های سخت طفره‌روی استفاده می‌کند. پاتریک شالپفر محقق HP Wolf Security چنین می‌گوید، «گرچه فرمت‌های آفیس بسیار محبوبند اما این کمپین نشان داد مهاجمین هنوز هم دارند برای آلوده کردن سیستم‌ها از داکیومنت‌های پی‌دی‌اف مسلح استفاده می‌کنند. بدافزار پی‌دی‌اف هنوز نمرده است».

به طور حتم مهاجمینی که از کمپین‌های ایمیل آلوده استفاده می‌کنند در طول دهه گذشته ترجیحشان این بوده که بدافزار را در فرمت‌های فایل آفیس مایکروسافت بسته‌بندی کنند؛ بخصوص ورد و اکسل. در سه ماهه‌ی اول سال 2022 به تنهایی حدود نیمی از بدافزارها (45 درصد) در فرمت‌های آفیس توسط HP Wolf Security متوقف شدند. محقق شالپفر در ادامه می‌گوید، «دلایل هم روشن است: کاربران با این نوع فایل‌ها آشنایی دارند، اپ‌هایی که آن‌ها را باز می‌کنند جامعند و مناسب فریب‌های مهندسی اجتماعی». هنوز گرچه این کمپین جدید از پی‌دی‌اف برای فریب فایل استفاده می‌کند اما در ادامه مایکروسافت ورد را برای ارسال پی‌لود نهایی –یعنی همان Snake Keylogger- به کار می‌بندد. Snake Keylogger بدافزاری است ساخت .NET که اولین بار اواخر 2020 نمود پیدا کرد و هدفش هم سرقت اطلاعات حساس از دستگاه قربانی بود؛ از جمله اطلاعات محرمانه ذخیره‌شده، ضربات کلید کیبورد قربانی، اسکرین‌شات‌هایی از اسکرین قربانی و داده‌های کلیپ‌بورد.

کمپین نامعمول

تیم HPW Wolf Security در تاریخ 23 مارس متوجه کمپین تهدید تازه‌ای مبتنی بر پی‌دی‌اف شد. این زنجیره نامعمول آلودگی نه تنها شامل پی‌دی‌اف می‌شد بلکه ترفندهای طفره‌روی از شناسایی نامعمولی هم در آن بکار گرفته می‌شد؛ مانند جاگذاری فایل‌های مخرب، لود اکسپلویت‌های از راه دور میزبانی‌شده و رمزگذاری شل‌کد (کد پوسته). مهاجمین با ایمیل‌هایی شامل داکیومنت پی‌دی‌اف به نام REMMITANCE INVOICE.pdf در قالب پیوست قربانیان را هدف قرار می‌دهند. اگر کسی فایل را باز کند ادوبی ریدر کاربر را مجبور می‌کند فایل .docx را با نامی عجیب باز کنند. مهاجمین مخفیانه داکیومنت ورد را نامگذاری می‌کنند. با این حال طوری این کار انجام می‌شود که گویی این اسم فایل بخشی است از درخواست ادوبی‌ریدر. فایل .docx در قالب شیء  EmbeddedFile داخل پی‌دی‌اف که  اگر روی ورد مایکروسافت کلیک شود باز می‌شود ذخیره می‌شود. اگر Protected View غیرفعال باشد، ورد از سرور وب که بعداً در بطن داکیومنت بازشده اجرا می‌شود فایل فرمت .rtf را دانلود می‌کند. محققین محتوای .rtf را که فایل آفیس بازشده‌ی XML  است از حالت‌ زیپ‌شده برداشتند و متوجه یوآرالی شدند پنهان در فایل document.xml.rels که به گفته آن‌ها دامنه‌ قانونی در داکیومنت‌های آفیس نداشته است.

اکسپلویت باگی به قدمت 17 سال

اتصال به این یوآرال به ریدایرکت منجر می‌شود و بعدش دانلود داکیومنت RTF به نام f_document_shp.doc. این داکیومنت حاوی دو شیء OLE با ساختار نادرست بود که نشان داد کد پوسته داشته از  CVE-2017-11882 سؤاستفاده می‌کرده. این آسیب‌پذیری به گفته محققین یک RCE در Equation Editor بوده است که بیش از 4 سال قدمت داشته. Equation Editor در واقع اپی است که در بسته آفیس به طور پیش‌فرض نصب است و برای درج و ادیت معادلات پیچیده بعنوان آیتم‌های OLE[1] در داکیومنت‌های مایکروسافت ورد استفاده می‌شود. با این حال چنین به نظر می‌رسد که این باگ که مهاجمین توسط آن کمپین خود را راه‌انداختند همانی است که مایکروسافت بیش از چهار سال پیش پچ می‌کرده- از سال 2017 با دقیق‌تر 17 سال پیش که می‌شود گفت قدمتی 22 سال! به عنوان اقدام آخر حمله محققین شل‌کدی را ذخیره‌شده در ساختار OLENativeStream پیدا کردند؛ شل کدی در انتهای اشیاء  OLE. این کد در نهایت متن رمزی را رمزگشایی کرده که کاشف بعمل می‌آید چیزی بیش از یک شل‌کد بوده است. سپس برای منجر شدن به فایل قابل‌اجرایی به نام  fresh.exe به کار گرفته می‌شود و آن فایل Snake Keylogger را لود می‌کند.

 

[1]  Object Linking and Embedding

 

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.

محصولات مرتبط

  • Kaspersky Internet Security

    ایمن بمانید- هرآنچه در محل کار و خانه انجام می‌دهید هرآنچه در محیط آنلاین انجام می‌دهید- روی دستگاه‌های پی‌سی، مک و اندروید- بسته‌ی امنیتی پیشرفته و تک‌لایسنسیِ ما به شما کمک ...

    3,193,086 ریال10,643,620 ریال
    خرید
  • Kaspersky Internet Security for Android

    امنیت پیشرفته‌ای که همیشه همراه شماست بخش مهمی از زندگی اکثر ما اکنون روی گوشی‌ها و تبلت‌هاست- پس به امنیت موبایلی نیاز دارید که شما را همیشه امن نگه ...

    1,063,686 ریال3,545,620 ریال
    خرید
  • Kaspersky Total Security

    قوی‌ترین و پرفروش‌ترین مجموعه‌‌ امنیتی ما امنیت خانواده چنددستگاهه مجهز به آنتی‌ویروس، ضدباج‌افزار، امنیت وبکم، مدیر کلمه‌عبور و 87 فناوری دیگر، همگی با یک لایسنس. ...

    4,257,786 ریال14,192,620 ریال
    خرید
  • Kaspersky Cloud Password Manager

    Kaspersky Cloud Password Manager ابزار مدیریت کلمه عبور ابری کسپرسکی (KCPM) ضمن ذخیره ایمن تمامی کلمات عبور مورد استفاده شما برای وبسایت‌ها، اپلیکیشن‌ها، و شبکه‌های اجتماعی آنها را در تمامی ...

    5,320,120 ریال
    خرید
  • Kaspersky Safe Kids

    شما می توانید بر ارتباطات اینترنتی کودکان از قبیل فعالیتهای عمومی در فیسبوک، کنترل تماسها و پیامها از طریق دستگاههای اندرویدی نظارت داشته باشید. کمک شما به کودکان بهترین راهنمایی برای آنها ...

    5,320,120 ریال
    خرید
  • Kaspersky Antivirus

    بهترین آنتی‌ویروس ما برای ویندوز پی‌سی شما جدیدترین ویروس‌ها، باج افزارها، جاسوس‌افزارها، رمزگرها و غیره را بلاک کرده و کمک می‌کند جلوی بدافزار ماینینگِ رمزارز -که به ...

    2,128,386 ریال7,094,620 ریال
    خرید
  • Kaspersky Small Office Security

    محافظت در حین کار Kaspersky Small Office Security به طور خاص برای سازمان‌هایی طراحی شده است که 5 تا 50 دستگاه کامپیوتر در خود جای داده‌اند. نصب آن بسیار آسان است؛ مدیریت آن ...

    3,832,920 ریال12,776,400 ریال
    خرید

نظر خودتان را ارسال کنید


کاربر گرامی چنانچه تمایل دارید، نقد یا نظر شما به نام خودتان در سایت ثبت شود، لطفاً وارد سایت شوید.
*نظر
کلیه حقوق مادی و معنوی این سایت محفوظ و متعلق به شرکت گسترش خدمات تجارت الکترونیک ایرانیان است و هر گونه کپی برداری از آن پیگرد قانونی دارد