این بدافزار دلیل دیگری برای ترس از ارائه پاورپوینت است

این بدافزار دلیل دیگری برای ترس از ارائه پاورپوینت است

انتشار فایل‌های پاورپوینت آلوده از طریق ایمیل

 

محققان حوزه امنیت بدافزار جدیدی را شناسایی کردند که از ماکروهای مخرب مخفی شده در پیوست‌های پاورپوینت استفاده می‌کند.

به گفته شرکت امنیت سایبری Trustwave، این فایل‌های پاورپوینت آلوده از طریق ایمیل‌های اسپم به صورت انبوه منتشر می‌شوند و پس از دانلود منجر به اجرای مجموعه ای از رویدادهای مختلف می‌شوند که در نهایت باعث آلودگی سیستم به بدافزار LokiBot خواهند شد.

خود این مکانیزم غیرطبیعی نیست اما روشی که این اسپم خاص برای پیشگیری از شناسایی به کار می‌برد، باعث جلب توجه محققان امنیتی شده است. در این روش URLها طوری دستکاری می‌شوند که پی‌لود نهایی مخفی شود.

کمپین بدافزاری پاورپوینت

به گفته Trustwave، مجموعه دامنه‌های مورد استفاده در این کمپین برای آلوده کردن کاربر نهایی، قبلاً هم به میزبانی محتوای مخرب شناخته شده بودند.

اما هکرها از تکنیک‌های دستکاری URL استفاده کردند تا دامنه‌های مخرب را مخفی کرده و قربانی و فیلترهای امنیتی مورد استفاده او را سردرگم کنند.

به ویژه در این کمپین از استاندارد URI (شناسانه منبع یکسان) برای فریب دادن آنتی ویروس‌هایی که فقط URLهایی با فرمت خاص را مخرب تشخیص می‌دهند، استفاده شده است.

باز و بسته کردن فایل آلوده باعث فعال شدن ماکرو شده و یک URL از طریق باینری ویندوز mshta.exe اجرا می‌کند که این URL کاربر را به یک VBScript درج شده در Pastebin منتقل می‌کند. Pastebin سرویس آنلاینی برای ذخیره متن ساده است.

این اسکریپت حاوی یک URL دیگر هم هست که یک دانلودر پاورشال را در رجیستری می‌نویسد و باعث فعال شدن دانلود و اجرای دو URL دیگر – از Pastebin– می‌شود.

یکی از این دوURL منجر به بارگذاری یک تزریق کننده DLL می‌شود که از آن برای آلوده کردن سیستم با یک نمونه از بدافزار LokiBot که در URL نهایی مخفی شده، استفاده می‌شود.

شاید پیچیده کردن این فرایند اقدام عجیبی به نظر برسد اما همین لایه‌های مختلف به کار رفته برای مخفی کاری و گمراه کردن – به همراه URLهای مورد استفاده – باعث شده که این حمله موفقیت آمیز باشد و شناسایی نشود.

Trustwave به کاربران توصیه کرده که برای مقابله با چنین خطراتی یک ضدبدافزار پیشرفته نصب کنند که به طور ویژه برای مقابله با تهدیدات ایمیلی طراحی شده و همه URLها را بررسی می‌کند تا نشانه‌های خاصی که ممکن است حاکی از اسپم بودن باشند، شناسایی کند.

MAGadmin

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

سیزده − 12 =

پست بعدی

Grado اولین هدفون های بی سیم واقعی را راه اندازی می کند - اما آیا آنها می توانند با AirPods Pro رقابت کنند؟

د اکتبر 5 , 2020
Grado اولین هدفون های بی سیم واقعی را راه اندازی می کند – اما آیا آنها می توانند با AirPods Pro رقابت کنند؟ گوش های بی سیم از متخصصان گوش در ادامه به Grado اولین هدفون های بی سیم واقعی را راه اندازی می کند – اما آیا آنها می […]
بهترین مدیر فایل سال 2020: راهی سریعتر و راحت تر برای انتقال پرونده ها