دانشمندان امنیتی میگویند این احتمال وجود دارد که از پروندههای پاورپوینت در حملات هدفمند برای توزیع بدافزار استفاده شود.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، محققان امنیتی هشدار دادند که مهاجمان از یک پرونده مخرب پاورپوینت به همراه یک آسیبپذیری وصلهشده در مایکروسافت بهرهبرداری کرده و سازمان ملل متحد، وزارتخانههای امور خارجه و سازمانهای بینالمللی را هدف قرار میدهند.
در این حملات از یک پرونده مخرب با نام ADVANCED DIPLOMATIC PROTOCOL AND ETIQUETTE SUMMIT.ppsx و آسیبپذیری با شناسه CVE-۲۰۱۷-۰۱۹۹ بهرهبرداری میشود. گفته میشود شرکت مایکروسافت این آسیبپذیری را در ماه آوریل وصله کردهاست. قبلا نیز مهاجمان از این آسیبپذیری برای توزیع بدافزارهایی مانند Dridex ،WingBird ،Latentbot و Godzilla بهرهبرداری شدهبود. این بهرهبرداری همچنان در فضای مجازی موجود بوده و مهاجمان در حملات خود از آن استفاده میکنند.
ماه قبل نیز شاهد بودیم که در حملاتی از پروندههای پاورپوینت به همراه بهرهبرداری از آسیبپذیری CVE-۲۰۱۷-۰۱۹۹ برای توزیع بدافزار استفادهمیشد. در این حملات نسخه آلوده به تروجان REMCOS و تروجانهای دسترسی از راه دور توزیع میشد. زمانی که در پرونده پاورپوینت، ویژگی «نمایش اسلاید» باز میشود، یک اسکریپت راهاندازی شده و بهرهبرداری موردنظر، یک کد راه دور را از یک پرونده XML به همراه جاوا اسکریپت از دامنه narrowbabwe[.]net. بارگیری میکند. در ادامه آن را با استفاده از ویژگی «نمایش اسلاید» در پاورپوینت اجرا میکند.
این بهرهبرداری همچنین قادر است کنترل حساب کاربری را با سرقت رجیستری دور زده و در ادامه پرونده eventvwr.exe را اجرا کند. دور زدن این ویژگی برای اولینبار در ماه اوت سال ۲۰۱۶ میلادی مورد بررسی قرار گرفت. جاوا اسکریپتی که در داخل پرونده XML وجود دارد، میتواند پروندهای را در دایرکتوری نوشته و خود را در قالب وصلهای برای مایکروسافت آفیس جا بزند.
این اسکریپت همچنین این قابلیت را دارد که تشخیص دهد که آیا در داخل ماشین مجازی اجرا میشود و یا خیر. اگر اسکریپت تشخیص دهد که در داخل ماشین مجازی اجرا نمیشود، میتواند فرایند خود را ادامه داده و دادههایی را برای کارگزار راه دور ارسال کند. هرچند در زمان تحلیل این حملات، کارگزارهای دستور و کنترل آن از کار افتاده است، ولی محققان میگویند پاسخهایی که کارگزار ارسال میکرد حاوی دستورات مختلفی بود که با استفاده از تابع eval() اجرا میشدند. پس از اجرای دستورات، اسکریپت اعلانی را به سمت کارگزار ارسال میکرد.
محققان میگویند احتمالا با اجرای این دستورات، بار داده نهایی بدافزار بارگیری میشد. محققان سیسکو ماه گذشته کشف کردند که مهاجمان از بهرهبرداریهای آفیس برای دور زدن سامانههای امنیتی و افزایش نرخ تحویل بدافزارها استفاده میکنند. محققان اخیرا نیز متوجه شدند که مهاجمان میتوانند در داخل یک کد، روشهای مختلفی را پیادهسازی کنند و از تشخیص فرار کرده و امتیازات خود را ارتقا دهند.