روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران) قبل از خواندن کامل این مقاله Macros را غیرفعال کنید و اگر آن را به صورت دستی انجام می دهید هنگام باز کردن پروندههای Word احتیاط کنید.
بیش از یک دهه است که مجرمان با مورد هدف قرار دادن کامپیوترها از طریق فایلهای مایکروسافت آفیسِ دستکاری شده حمله های خود را عملی می کنند. بیشترین نوع سوء استفاده از این مشکل از طریق ضمیمه کردن فایلهای Word و ارسال آنها از طریق اسپم ایمیل ها است.
اما یک حمله مهندسی اجتماعی جدید در سطح اینترنت کشف شده است که نیازی به فعال کردن macros ندارد و به جای آن یک بدافزار را بر روی سیستم هدف و با استفاده از دستورات PowerShell که درون یک فایل پاورپوینت جاسازی شده است، اجرا میکند. علاوه بر این، این کد PowerShell مخرب در داخل یک پرونده مخفی شده است و هنگامیکه شخص قربانی فلش ماوس را بر روی لینک مربوطه قرار میدهد، حتی بدون اینکه بر روی آن کلیک کند، یک payload اضافی بر روی دستگاه آلوده شده دانلود میشود.
محققان شرکت امنیتی SentinelOne به تازگی کشف کردهاند که گروهی از مجرمان از فایلهای پاورپوینت مخرب استفاده میکنند تا یک تروجان بانکی به نام Zusty را که به Tinba یا Tiny Banker نیز معروف است، را شیوع دهند.
اگر Zusty را نمی شناسید باید بگوییم که این یک تروجان بانکی است که در سال 2012 شناسایی شد. این تروجان که قابلیت شنود ترافیک شبکه را داشت، قادر بود حملات Man-in-The-Browser را اجرا کند. Zusty از این طریق برگه های اضافی را به سایتهای بانکی قانونی تزریق میکرد و از قربانیان درخواست میکرد تا دادههای حساس بیشتری را مانند شماره کارت اعتباری، TANs و کدهای تأیید اعتبار را به اشتراک گذارند.
اما محققان شرکت SentinelOne Labs در گزارشی گفته اند: "نوعی جدید از بدافزارها به نام Zusy در سطح اینترنت شناسایی شده که از طریق فایل های پاورپوینت که به اسپم ایمیل ها پچ شده اند، پخش میشود و عنوان اسپم ارسالی، Purchase Order #130527 و Confirmation است.این ماجرا جالب است چرا که این بدافزار نیاز به فعال بودن macros برای اجرا شدن ندارد".
فایل های پاورپوینت از طریق اسپم ها گسترش می یابند و با موضوعاتی همچون Confirmation و Purchase Order ارسال می شوند. هنگامی که این ایمیل ها باز می شوند متنی با عنوان Loading…Please Wait نمایش می دهند که نوعی هایپرلینک است.
هنگامی که کاربر بر روی لینک کلیک می کند، این لینک به صورت اتوماتیک تلاش می کند که یک کد PowerShell را اجرا کند. در این هنگام ویژگی امنیتی Protected View که به صورت پیش فرض و در بیشتر نسخه های دارای پشتیبانی مایکروسافت مانند آفیس 2010 و آفیس 2013 فعال است، یک هشدار جدی را نمایش میدهد و کاربر را ترغیب میکند که محتوا را فعال یا غیرفعال کند.
در صورتیکه یک کاربر هشدار را جدی نگیرد و اجازه دهد که محتوای مربوطه دیده شود، برنامه ی مخرب به دامنه ای به نام " cccn.nl " متصل می شود که از طریق آن میتواند یک فایل را دانلود و اجرا کند که درنهایت مسئولیت تحویل این نوع جدید از تروجانهای بانکی به نام Zusy بر عهده دارد.
محققان لابراتوار SentinelOne میگویند: “کاربران ممکن است هنوز هم به نحوی به برنامه های خارجی اختیاراتی را دهند، جال این اختیارات می تواند ناشی از تنبلی, عجله و یا فقط عادت کردهاند که macros را بلاک کنند. همچنین بعضی از تنظیمات ممکن است در اجرای برنامه های خارجی مجاز باشند که این تنظیمات در macros مجار نبودند".
یکی دیگر از محققان نیز این حمله جدید را آنالیز کرده است و تأیید کرده است که این حمله جدید به macros، جاوا اسکریپت یا VBA برای اجرای روش خود وابسته نیست.
این حمله با هدف تکان دادن نشانگر ماوس انجام گرفته شده است. در واقع این حمله به گونه ای برنامه ریزی شده است که هنگامی که کاربر ماوس خود را بر روی یک متن نگه می دارد، یک برنامه را اجرا کند.
منبع: کسپرسکی آنلاین(ایدکو)
* کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکی، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکي نام دارد.