بدافزار ماکرو در پنهان کردن کدهای خود پیشرفت کرده است!

مایکروسافت هشدار می‌دهد که بدافزار ماکرو که یک تهدید عمده در دهه‌ی ۱۹۹۰ بود، اخیراً بازگشته و تکامل یافته و مجموعه‌ای از ترفندها را به کار بسته تا بتواند به نحو بهتری کدهای مخرب خود را پنهان سازد.
محققان امنیتی در مرکز حفاظت بدافزار مایکروسافت (MMPC) اخیراً نوع جدیدی از خانواده بارگیری کننده‌ی بدافزار O۹۷M/Donoff را در یک پرونده کشف کرده‌اند که اساس عملکرد مخرب آن بر ماکروهای نرم‌افزارهای آفیس بنا شده است و شامل یک پروژه‌ی VBA برای اسکریپت‎ سازی ماکروی مخرب است.
دونوف Donoff که چندین سال فعال بوده است، در حملات ارسال هرزنامه در رایانامه‌ها استفاده می‌شود که در آن مهاجمان از تکنیک‌های مهندسی اجتماعی مختلفی برای فریب کاربران استفاده می‌کردند تا پرونده‎های ضمیمه را باز کنند. شرکت IBM در گزارش سال ۲۰۱۵ خود نوشته است که دنوف همچون دیگر بدافزارهایی چون Bartallex ، Dridex و غیره، یک بارگیری‌ کننده است، به این معنا که بعد از اجرا، سایر بدافزارها را بر روی سامانه‌ی آلوده شده بارگیری می‌کند. این بدافزارها شامل بدافزارهای بانکی، تهدیدهای پایانه فروش و باج‌افزارها هستند.
ماریان مالن و وی لی از شرکت مایکروسافت توضیح می‌دهند که در حملاتی که اخیراً مشاهده شده‌اند، دندوف، راه درازی را پیموده تا مطمئن شود که ضمیمه‌ی ارسال شده آلوده به نظر نمی‌رسد. این پرونده یک ضمیمه‌ی Word است و شامل هفت ماژول VBA و سه دکمه برای کاربران VBA‌است (که به عنوان عنصر CommandButton استفاده می‌شوند).
این محققان توضیح می‌دهند که در ابتدا به نظر می‌رسید این ماژول VBA یک برنامه‌ی SQL قانونی با یک ماکرو باشد که هیچ نوع کد مخربی را در بر ندارد. با این حال، با بازرسی دقیق‌تر، آن‎ها متوجه شدند که یک رشته‌ی عجیب و غریب در فیلد Caption در فرم کاربری CommandButton۳ وجود دارد که به نظر می‌رسد یک رشته‌ی رمزنگاری شده است.
هنگام تجزیه و تحلیل دیگر ماژول‌ها در این پرونده، محققان کشف کردند که یک کد غیرمعمول در Module۲ قرار دارد و آن یک ماکرو است که برای رمزگشایی از رشته در فیلد Caption برای CommandButtion۳ طراحی شده است. آن‎ها متوجه شدند که این رشته یک پیوند اینترنتی است که برای بارگیری باج‌افزار آلوده‌ی Locky استفاده می‌شود.
همچنین محققان مایکروسافت دریافتند که ماکروی پیش‌فرض autoopen() برای اجرای تمام پروژه‌ی VBA به محض اینکه سندی باز می‌شود، استفاده می‎گردد.
محققان مایکروسافت شرح داده‌اند: «پروژه‌ی VBA (و در نتیجه ماکرو) در صورتی‎که کاربر ماکروها را هنگام باز کردن پرونده فعال کند، به صورت خودکار اجرا می‌شود. توصیه‌ی اکید برای جلوگیری از آلودگی توسط این بدافزار این‎ است که تنها هنگامی ماکروها را فعال کنید که خود، آن‎ها را نوشته‌اید و یا اینکه کاملاً به شخصی که آن را نوشته است، اعتماد دارید».
اوایل سال جاری، بدافزارهای Dridex و Locky، نیز که از خانواده‌ی بدافزارهای مرتبط هستند از ماکروهای آلوده برای توزیع استفاده کرده و مهارت‌هایی را به کار بردند که نتوان آنها را به آسانی کشف کرد. در آن زمان، محققان مرکز Trend Micro اشاره کردند که هر دو این تهدیدها ، به جای اسکریپت‌هایی که در صفحه‌ی ماکرو قرار دارند، از اشیاء فرم ماکروها برای ایجاد ابهام در کدهای آلوده و ارسال و اجرای بدافزارهای مخرب استفاده می‌کنند.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

اسکن امنیتی وب سایت
(5000 تومان)

نوع وب سایت: وبلاگ، شرکتی، تجارت الکترونیک و کسب و کارحرفه ای
آسیب پذیری های OWASP (شامل بررسی 10 آسیب پذیری متداول)
اسکن نرم افزار/وب سایت توسط Acunetix نسخه 11
اسکن تمامی پورت ها با ابزار Nmap
اسکن وب سرور و پیکربندی آن توسط ابزار Nikto
اسکن تزریق توسط نرم افزار قدرتمند SQLmap