آلوده شدن رایانه تعدادی از کاربران به درب پشتی از طریق پرونده‌های Microsoft Publisher‌

محققان امنیتی شرکت Bitdefender اعلام کردند که یک زنجیره هرزنامه را کشف کرده‌اند که از طریق پرونده‌های PUB ویندوز فعال می‌شود. محققان در این خصوص اعلام کردند که این فرآیند توسط یک تروجان انجام می‌شود که یک درب پشتی را روی رایانه‌های آلوده طراحی می‌کند.

این شرکت در ادامه یادآور شد که تاکنون هزاران رایانامه را در مدت کوتاهی به این شکل شناسایی کرده است که پرونده‌های pub. به آن‌ها پیوست شده‌اند.

هرزنامه مورد استفاده در این فرآیند طبق بررسی‌ها از شرکت‌های مختلف انگلستانی و چینی به شکل سفارش و یا برگ خرید برای کاربران ارسال می‌شود.

محققان با بررسی این رایانامه‌ها دریافتند هنگامی‌که کاربر پرونده PUB را اجرا می‌کند، یک پرونده VBScript باز می‌شود و این پرونده سپس اقدام به بارگیری یک پرونده خوداستخراجی CAB در رایانه کاربر می‌کند.

این پرونده دارای یک اسکریپت AutoIt و یک پرونده رمزنگاری‌شده با الگوریتم AES-۲۵۶ است. محققان شرکت Bitdefender در این خصوص اعلام کردند که زنجیره اسکریپت‌های AutoIt در این فرآیند به عنوان کلید رمزگشایی پرونده پایانی این فرآیند عمل می‌کند.

بررسی‌های بیشتر محققان در این خصوص نشان می‌دهد که پرونده رمزنگاری‌شده در حقیقت یک تروجان درب پشتی است که به طراحان خود این امکان را می‌دهد که به رایانه آلوده‌شده دسترسی پیدا کرده و به آن متصل شوند.

این تروجان قابلیت‌های مختلفی مانند کی‌لاگینگ، ثبت کلمه‌های عبور به هنگام تایپ آن‌ها توسط کاربر،‌ رونوشت‌برداری از کلمه‌های عبور در مرورگرها و بخش‌های رایانامه‌ای، جمع‌آوری اطلاعات از رایانه آلوده‌شده و … را دارد.

مشکلی که محققان شرکت Bitdefender به آن اذعان داشته‌اند، نام‌گذاری این تروجان است. بررسی‌های محققان تا به این لحظه نشان می‌دهد که این تروجان Generic.Malware.SFLl.۵۴۵۲۹۲C نام‌گذاری شده است. پرونده‌های PUB مورد استفاده برای توزیع این تروجان نیز در اطلاعیه‌های هشداری W۹۷M.Downloader.EGF شناسایی شده‌اند. نکته دیگری که در مورد پویش‌های توزیع این تروجان عجیب به نظر می‌رسد، استفاده از پرونده‌های PUB است. این پرونده‌ها مربوط به برنامه Microsoft Publisher که یکی از برنامه‌های موجود در محصول Office ۳۶۵ suite است.

آدریان میرون ، مدیر آزمایشگاه ضد هرزنامه‌ای شرکت Bitdefender در این خصوص اعلام کرد: «پرونده pub. یک پرونده عادی و رایج برای ورود بدافزارها به رایانه کاربران نیست. طراحان این حملات به دلیل اینکه کاربران کمتر به این‌گونه پرونده‌ها و میزان آلوده سازی آن‌ها شک می‌کنند، ‌از این پرونده‌ها استفاده می‌کنند.»

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.