استفاده از ویژگی OLE در آفیس برای توزیع کی‌لاگر

محققان امنیتی پروف‌پوینت اعلام کردند مهاجمان پویش جدیدی را شروع کرده و ارائه‌دهندگان سرویس‌های مالی را هدف قرار داده‌اند. در این پویش کی‌لاگری تحت عنوان به‌روزرسانی سیلورلایت نصب می‌شود.

این حمله رایانامه‌های کمی را در یک سازمان هدف قرار داده و قصد داشته رایانه‌های این سازمان را با کی‌لاگر آلوده کند. در این رایانامه‌ها یک ضمیمه‌ی مایکروسافت ورد نیز وجود داشت که حاوی یک شیء تعبیه‌شده بود که به‌طرز بسیار حرفه‌ای مبهم‌سازی شده بود تا از فرآیند شناسایی و تشخیص بدافزار بگریزد.

قبلاً نیز مشاهده شده بود که نویسندگان بدافزار از قابلیت‌های اشیاء پیوندی و تعبیه‌شده۱ (OLE) در محصولات آفیس استفاده می‌کردند و مایکروسافت نیز ۶ ماه قبل این موضوع را به کاربران هشدار داده بود. هرچند که هنوز هم استفاده از ماکروهای مخرب در اسناد آفیس مشهورترین بردار برای توزیع بدافزارها محسوب می‌شود ولی استفاده از OLE در آفیس امسال رشد چشم‌گیری داشته است.

محققان پروف‌پوینت اعلام کرد این سند ورد با نام info.doc، کاربران را تشویق می‌کند تا برای مشاهده‌ی محتوای این پرونده، یک افزونه‌ی سیلورلایت را نصب کنند. نویسندگان بدافزار برای مخفی کردن پرونده‌ی اسکریپت ویژوال بیسیک از «شیء شِل بسته‌بندی‌کننده» استفاده کرده و این پرونده را با افزودن عبارت «We are safe» پس از هر نویسه، مبهم‌سازی کرده‌اند.

محققان کشف کردند که در ۳ خط اول این کد، شیوه‌ی خارج کردن پرونده از حالت مبهم توضیح داده شده و گفته شده است به‌جای عبارت We are safe از نویسه‌ی تهی استفاده شود. هدف از این کد، ارسال درخواست HTTP GET برای یک پرونده‌ی مخرب است ولی وقتی محققان تلاش کردند تا این پرونده را تحلیل و بررسی کنند، حذف شده بود. محققان امنیتی می‌گویند وب‌گاه site pomf[.]cat که به‌طور رایگان میزبانی پرونده‌ها را امکان‌پذیر می‌سازد، به افراد ناشناس اجازه می‌دهد تا پرونده‌های مخرب و اجرایی خود را بر روی این وب‌گاه بارگذاری کنند.

یک نمونه از این بدافزار از وب‌گاه VirusTotal بازیابی شد و تحلیل‌ها نشان داد که این کی‌لاگر، جدید و شناسایی‎نشده است. این بدافزار برای تشخیص آدرس IP ماشین قربانی، یک ارتباط شبکه‌ای با آدرس icanhazip[.]com برقرار می‌کند و از واسط‌های برنامه‌نویسی GetAsyncKeyState در ویندوز استفاده می‌کند تا کلیدهای فشرده‌شده بر روی صفحه‌کلید توسط کاربر را تشخیص دهد.

محققان کشف کردند که این کی‌لاگر از کارگزار SMTP جی‌میل برای ارسال رکوردهای ثبت‌شده به ۲ آدرس رایانامه‌ی هاردکدشده استفاده می‌کند. این کی‌لاگر به زبان AutoIt نوشته شده و از ابزار بازیابی گذرواژه‌ی Lazagne استفاده می‌کند.
محققان پروف‌پوینت در نتیجه‌گیری خود گفتند: «مهاجمان سایبری پای خود را فراتر گذاشته و علاوه بر ماکروهای مخرب از روش‌های دیگری برای توزیع پرونده‌های مخرب استفاده می‌کنند. اینک لازم است سازمان‌ها به فکر راه چاره‌ای برای جلوگیری از رسیدن محتوای مخرب به دست کاربران انتهایی باشند. در حالی‌که سازمان‌ها در یک سیاست کلی، ماکروهای آفیس را مسدود کرده و به کاربران آموزش می‌دهند که این ماکروها را فعال نکنند، مهاجمان از روش‌های دیگری همچون OLE در آفیس برای توزیع بدافزار استفاده می‌کنند. در نمونه‌ی اخیر شاهد بودیم که یک شیء در قالب پرونده‌ی اسکریپت ویژوال بیسیک در سند ورد تعبیه شده و قابلیت‌های کی‌لاگر را دارا بود.»

۱. object linking and embedding

منبع: asis

کانال اخبار فناوری اطلاعات نماد امن

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.