وبلاگ کسپرسکی آنلاین | احتیاط: نصب یک بدافزار بدون نیاز به Macro ها از طریق پاورپوینت

روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران) قبل از خواندن کامل این مقاله Macros را غیرفعال کنید و اگر آن را به صورت دستی انجام می دهید هنگام باز کردن پرونده‌های Word احتیاط کنید.

بیش از یک دهه است که مجرمان با مورد هدف قرار دادن کامپیوترها از طریق فایل‌های مایکروسافت آفیسِ دستکاری‌ شده حمله های خود را عملی می کنند. بیشترین نوع سوء استفاده از این مشکل از طریق ضمیمه کردن فایل‌های Word و ارسال آن‌ها از طریق اسپم ایمیل ها است.

اما یک حمله مهندسی اجتماعی جدید در سطح اینترنت کشف شده است که نیازی به فعال کردن macros ندارد و به جای آن یک بدافزار را بر روی سیستم هدف و با استفاده از دستورات PowerShell که درون یک فایل پاورپوینت جاسازی شده است، اجرا می‌کند. علاوه بر این، این کد PowerShell مخرب در داخل یک پرونده مخفی شده است و هنگامی‌که شخص قربانی فلش ماوس را بر روی لینک مربوطه قرار می‌دهد، حتی بدون اینکه بر روی آن کلیک کند، یک payload اضافی بر روی دستگاه آلوده شده دانلود می‌شود.

محققان شرکت امنیتی SentinelOne به تازگی کشف کرده‌اند که گروهی از مجرمان از فایل‌های پاورپوینت مخرب استفاده می‌کنند تا یک تروجان بانکی به نام Zusty را که به Tinba یا Tiny Banker نیز معروف است، را شیوع دهند.

اگر Zusty را نمی شناسید باید بگوییم که این یک تروجان بانکی است که در سال 2012 شناسایی شد. این تروجان که قابلیت شنود ترافیک شبکه را داشت، قادر بود حملات Man-in-The-Browser را اجرا کند. Zusty از این طریق برگه ‌های اضافی را به سایت‌های بانکی قانونی تزریق می‌کرد و از قربانیان درخواست می‌کرد تا داده‌های حساس بیشتری را مانند شماره کارت اعتباری، TANs و کدهای تأیید اعتبار را به اشتراک گذارند.

اما محققان شرکت SentinelOne Labs در گزارشی گفته اند: "نوعی جدید از بدافزارها به نام Zusy در سطح اینترنت شناسایی شده که از طریق فایل ‌های پاورپوینت که به اسپم ایمیل ها پچ شده‌ اند، پخش می‌شود و عنوان اسپم ارسالی، Purchase Order #130527 و Confirmation است.این ماجرا جالب است چرا که این بدافزار نیاز به فعال بودن macros برای اجرا شدن ندارد".

فایل های پاورپوینت از طریق اسپم ها گسترش می یابند و با موضوعاتی همچون Confirmation و Purchase Order ارسال می شوند. هنگامی که این ایمیل ها باز می شوند متنی با عنوان Loading…Please Wait نمایش می‌ دهند که نوعی هایپرلینک است.

هنگامی که کاربر بر روی لینک کلیک می کند، این لینک به صورت اتوماتیک تلاش می کند که یک کد PowerShell را اجرا کند. در این هنگام ویژگی امنیتی Protected View که به‌ صورت پیش‌ فرض و در بیشتر نسخه‌ های دارای پشتیبانی مایکروسافت مانند آفیس 2010 و آفیس 2013 فعال است، یک هشدار جدی را نمایش می‌دهد و کاربر را ترغیب می‌کند که محتوا را فعال یا غیرفعال کند.

در صورتیکه یک کاربر هشدار را جدی نگیرد و اجازه دهد که محتوای مربوطه دیده شود، برنامه ی مخرب به دامنه ای به نام " cccn.nl " متصل می شود که از طریق آن می‌تواند یک فایل را دانلود و اجرا کند که درنهایت مسئولیت تحویل این نوع جدید از تروجان‌های بانکی به نام Zusy بر عهده دارد.

محققان لابراتوار SentinelOne می‌گویند: “کاربران ممکن است هنوز هم به نحوی به برنامه‌ های خارجی اختیاراتی را دهند، جال این اختیارات می تواند ناشی از تنبلی, عجله و یا فقط عادت کرده‌اند که macros را بلاک کنند. همچنین بعضی از تنظیمات ممکن است در اجرای برنامه‌ های خارجی مجاز باشند که این تنظیمات در macros مجار نبودند".

یکی دیگر از محققان نیز این حمله جدید را آنالیز کرده استو تأیید کرده است که این حمله جدید به macros، جاوا اسکریپت یا VBA برای اجرای روش خود وابسته نیست.

این حمله با هدف تکان دادن نشانگر ماوس انجام گرفته شده است. در واقع این حمله به گونه ای برنامه ریزی شده است که هنگامی ‌که کاربر ماوس خود را بر روی یک متن نگه می ‌دارد، یک برنامه را اجرا کند.

منبع: کسپرسکی آنلاین(ایدکو)

* کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکی، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکي نام دارد.