فیشینگ (Phishing) با سوءاستفاده از PowerPoint برای توزیع انواع مختلف بدافزارها از اواخر سال 2021 افزایش یافت.
منبع : مرکز مدیریت راهبردی افتا
فیشینگ با سوءاستفاده از PowerPoint برای توزیع انواع مختلف بدافزارها از اواخر سال 2021 افزایش یافت.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، از دسامبر ۲۰۲۱، تعداد آن دسته از کارزارهای موسوم به فریب سایبری یا فیشینگ (Phishing) افزایش قابلتوجهی داشته است که در آن از اسناد مخرب PowerPoint برای توزیع انواع مختلف بدافزارها استفاده میشود.
به گزارش مرکز مدیریت راهبردی افتا، بدافزارهای بکار گرفتهشده در این کارزارها از نوع "تروجان" (Trojan) هستند که شرایط دسترسی غیرمجاز از راه دور (Remote Access) و سرقت اطلاعات (Information-Stealing Trojan) را برای مهاجمان فراهم میکنند. بنا بر گزارش آزمایشگاه تهدیدات سایبری نتاسکوپ (Netskope Threat Labs)، مهاجمان از سرویسهای ابری معتبر برای میزبانی فایلهای PowerPoint که حاوی کدهای بدافزاری هستند، استفاده کردهاند. در این کارزار از Warzone (که به AveMaria نیز معروف است) و AgentTesla، استفاده میشود که هر دو نوعی RAT (Remote Access Trojan) پیشرفته هستند. بدافزارهای یادشده، اطلاعات اصالتسنجی را سرقت کرده و بسیاری از برنامههای کاربردی را هدف قرار میدهند. مهاجمان در این کارزار از بدافزارهای سرقت کننده رمزارز (Cryptocurrency Stealer) نیز استفاده میکنند. فایل PowerPoint مخرب که پیوست ایمیلهای فیشینگ است حاوی ماکروی مخفیشده (Obfuscated Macro) است که با بهکارگیری از PowerShell و MSHTA، اجرا میشود که هر دو از ابزارهای تعبیهشده در Windows، هستند. سپس اسکریپت VBS از حالت مخفی خارج میشود (De-obfuscated) و جهت ماندگاری در سیستم، ورودیهای جدید Registry را در Windows ایجاد میکند. این به نوبه خود، منجر به اجرای دو اسکریپت میشود. اسکریپت اول، بدافزار AgentTesla را از یک URL خارجی بازیابی کرده و اسکریپت دوم، Windows Defender را غیرفعال میکند.
علاوه بر این، اسکریپت VBS یک وظیفه زمانبندیشده (Scheduled Task) ایجاد میکند به صورتی که هر ساعت یک اسکریپت خاص اجرا میشود تا یک بدافزار سرقت کننده رمزارز را از یک نشانی اینترنتی در سایت Blogger همانند آنچه در تصویر زیر نشاندادهشده، دریافت کند.
بدافزار AgentTesla یک نوع RAT مبتنی بر فناوری .NET است که میتواند رمزهای عبور مرورگر، کلیدهای فشردهشده در صفحهکلید، محتوای Clipboard و غیره را سرقت کند. بدافزار یادشده توسط PowerShell اجرا شده و تا حدودی مخفیشده است. علاوه بر این، تابعی نیز وجود دارد که کد بدافزاری را به فایل اجرایی ""aspnet_compiler.exe تزریق میکند.
دومین بدافزار مورداستفاده در این کارزار، Warzone است که آن نیز از نوع RAT بوده اما شرکت نت اسکوپ جزئیات زیادی در مورد آن در گزارش ارائه نکرده است. بدافزار سرقت کننده رمزارز، سومین کد بدافزاری مورداستفاده است که دادههای Clipboard را جهت تشخیص نشانی کیف پول رمزارزها، بررسی میکند. در صورت پیدا کردن نشانی کیف پول معتبر، نشانی کیف پول گیرنده را با نشانی کیف پول مهاجم، جایگزین میکند. این سارق رمزارز، از رمزارزهایی همچون Bitcoun، Ethereum، XMR، DOGE و غیره پشتیبانی میکند. محققان نت اسکوپ، لیست کامل نشانههای آلودگی (Indicators of Compromise – بهاختصار IoC) مربوط به این کارزار را در نشانی زیر منتشر کردهاند:
شرکت فورتی نت (Fortinet) نیز در دسامبر ۲۰۲۱ در خصوص کارزار مشابهی با نام DHL گزارش داد که در آن نیز از اسناد PowerPoint برای اجرای بدافزار AgentTesla استفاده میشده است. کاربران باید همانند فایلهای Excel، با فایلهای PowerPoint نیز بااحتیاط برخورد کنند زیرا کد ماکرو مخرب تعبیهشده در آنها میتواند به همان اندازه خطرناک و فاجعهبار باشد. مهاجمان در این کارزار، از سرویسهای ابری معتبر برای میزبانی کدهای مخرب خود استفاده کردند تا توسط محصولات امنیتی شناسایی نشوند؛ بنابراین، مطمئنترین اقدام محافظتی این است که بااحتیاط تمام، ارتباطات ناخواسته را مدیریت کرده و ماکروها در مجموعه نرمافزارهای Microsoft Office غیرفعال شوند.