کمیته رکن چهارم – اخیرا تیم تحقیقاتی Proofpoint دریافتند که دانلودر نرم افزار مخرب WhiteShadow از Microsoft SQL Server (کنترل شده توسط مهاجم) برای توزیع بدافزار استفاده می کند.
کارشناسان می گویند WhiteShadow از اتصال SQLOLEDB برای ریموت از راه دور Microsoft SQL Server استفاده می کند، پرس و جو را اجرا می کند و نتایج را در قالب یک فایل فشرده شده ذخیره می کند. کانکتور SQLOLEDB یک اتصال دهنده بانک اطلاعاتی قابل نصب از مایکروسافت است اما به طور پیش فرض در بسیاری از نصب های مایکروسافت آفیس گنجانده شده است.
محققان می گویند: “اتصال SQLOLEDB یک اتصال دهنده پایگاه داده قابل نصب از مایکروسافت است اما بطور پیش فرض در بسیاری از نصب های (اگر نه همه) مایکروسافت آفیس گنجانده شده است.” “پس از نصب کانکتور بر روی سیستم ، می توان از آن توسط بخش های مختلف سیستم ویندوز و اسکریپت های ویژوال بیسیک از جمله ماکرو در اسناد Microsoft Office استفاده کرد.”
WhiteShadow به عنوان مجموعه ای از ماکرو های Office ظاهر می شود ، که عمدتا از طریق اسپم های حاوی لینک اینترنتی یا پیوست های مخرب توزیع می شود. از آنجایی که اولین دانلود آن در ماه آگوست کشف شد ، تیم تحقیقاتی از آن تاریخ تا به الان توانسته ۱۱ فعالیت مخرب را با استفاده از دانلودر کشف کند.
بیشترین فعالیت مخرب آن توزیع بدافزار Crimson است و پیلود های دیگر شامل:
Agent Tesla, AZORult, Nanocore, njRat, Orion Logger, Remcos, and Formbook RATs
نمونه میل اسپم WhiteShadow
منبع: ایران سایبر
