هم رسان: چند ماه پیش نوشتیم بازکردن یک فایل MS Word ساده با استفاده از یک آسیب پذیری مهم و جدی در مایکروسافت آفیس چه تاثیراتی به دنبال خواهد داشت. آسیب پذیری اجرای از راه دور کد مایکروسافت (CVE-2017-0199) در رابط Windows Object Linking and Embedding (OLE) قرار دارد که یک پچ امنیتی در بهار سال جاری برای برطرف کردن آن منتشر شد، اما عوامل تهدید هنوز هم از نقص موجود به روش های مختلف سوء استفاده میکنند.
به گزارش پایگاه خبری هم رسان به نقل از هکرنیوز، محققان امنیتی به تازگی یک کمپین بدافزاری جدید کشف کردهاند که از همان اکسپلویت سابق استفاده میکند، اما برای اولین بار در یک فایل ارائه پاورپوینت (PPSX) خاص خود را مخفی کرده بود.
طبق یافتههای محققان امنیتی Trend Micro که این کمپین بدافزاری را شناسایی کردهاند، این حمله هدفمند با یک پیوست ایمیل فیشینگ شروع میشود که ظاهراً از طرف یک تولید کننده کابل فرستاده شده است و شرکتهای فعال در زمینه صنایع تولید الکترونیک را مورد هدف قرار میدهد.
محققان معتقدند این حمله شامل استفاده از یک آدرس ایمیل ساختگی به عنوان ایمیل مجاز ارسال شده از طرف بخش فروش و صدور صورت حساب است.
نحوه اجرای حملات
سناریو کامل حمله در زیر آمده است:
مرحله اول حمله با یک ایمیل شروع میشود که حاوی یک پیوست فایل پاورپوینت (PPSX) آلوده است که تظاهر میکند اطلاعات مربوط به یک درخواست سفارش را شامل میشود.
مرحله دوم زمانی که (PPSX) اجرا میشود، این فایل از یک فایل XML برنامه نویسی شده در آن فراخوانی میکند تا فایل logo.doc را از یک موقعیت دور دانلود کرده و آن را از طریق قابلیت انیمیشنهای PowerPoint Show اجرا کند.
در مرحله سوم سپس بدافزار Logo.doc باعث آسیب پذیری CVE-2017-0199 میشود که فایل RATMAN.exe را بر روی سیستم هدف دانلود و اجرا میکند.
در مرحله چهارم فایل RATMAN.exe یک نسخه تروجان شده از ابزار Remcos Remote Control است که در هنگام نصب به مهاجمان اجازه میدهد تا کنترل رایانههای آلوده را از سرور فرمان و کنترل خود از راه دور به دست بگیرند.
Remcos یک ابزار قانونی و قابل تنظیم برای دسترسی از راه دور به یک سیستم است که به کاربران اجازه میدهد سیستم خود را از هر جای دنیا با قابلیتهایی نظیر دانلود و اجرای یک فرمان، کی لاگر، لاگر صفحه نمایش و ضبط از طریق وب کم یا میکروفون کنترل کنند.
از آنجا که این اکسپلویت برای ارائه اسناد Rich Text File (.RTF) استفاده میشود، بیشتر روشهای تشخیص CVE-2017-0199 روی RTF تمرکز میکنند. بنابراین، استفاده از فایلهای جدید PPSX به مهاجمین اجازه میدهد تا از تشخیص آنتی ویروسها فرار کنند.
سادهترین راه برای جلوگیری از جلوگیری کامل از این حمله، دانلود و اجرای پچ های امنیتی منتشر شده توسط مایکروسافت در بهار است که به آسیب پذیری CVE-2017-0199 میپردازند و آن را برطرف میکنند.
دیجیاتو آپارات...
ما را در سایت دیجیاتو آپارات دنبال می کنید
برچسب : فایل,پاورپوینت,آلوده,تاثیری,رایانه,خواهد,داشت؟, نویسنده : عباس قلی بزرگی بازدید : 230 تاريخ : جمعه 3 شهريور 1396 ساعت: 20:33