بهره‌برداری از آسیب‌پذیری روز-صفرم آفیس برای توزیع تروجان بانکی Dridex

کمیته رکن چهارم – آسیب‌پذیری روز-صفرم که اخیراً در مایکروسافت آفیس کشف شده، توسط تروجان بانکی Dridex مورد بهره‌برداری قرار می‌گیرد تا رایانه‌های قربانیان را آلوده کند. جزئیات این آسیب‌پذیری توسط مک‌آفی و فایرآی تشریح شده و بهره‌برداری موفق از آن به مهاجم اجازه اجرای دستورات بر روی رایانه‌ی آلوده را می‌دهد.

به گزارش کمیته رکن چهارم،با استفاده از قابلیت OLE در آفیس، مهاجم می‌تواند یک سند RTF ایجاد کند که به یک پرونده‌ی HTML بر روی کارگزار راه دور پیوند دارد. این پرونده‌ی HTML در ادامه قابلیت اجرای یک اسکریپت مخرب ویژوال بیسیک را دارد. محققان پروف‌پوینت می‌گویند این آسیب‌پذیری در اسناد مخربی که در رایانامه‌ها برای هزاران قربانی ارسال شده، مورد بهره‌برداری قرار می‌گیرد. این رایانامه‌های مخرب در ادامه منجر به نصب بدافزار Dridex بر روی ماشین قربانی می‌شود.

در این پویش تمامی پیام‌ها از طرف آدرسی به شکل <[device]@[recipient’s domain]> ارسال شده که در بخش [device] عباراتی مانند copier ،documents ،noreply ،no-reply و یا scanner می‌تواند قرار بگیرد. موضوع رایانامه در تمامی موارد Scan Data است در حالی‌که نام سند مخرب مایکروسافت ورد Scan_xxxx.doc یا Scan_xxxx.pdf است.

وقتی این سند مخرب باز شد، بهره‌برداری انجام شده و پس از اجرای یک سری دستورات، تروجان Dridex با شناسه‌ی ۷۵۰۰ بر روی رایانه‌ی قربانی نصب می‌شود. محققان امنیتی اشاره کردند برای بهره‌برداری از این آسیب‌پذیری هیچ نیازی به تعامل کاربر وجود ندارد. محققان امنیتی می‌گویند در چند وقت اخیر شاهد بوده‌ایم که مهاجم از طریق هرزنامه و ماکروهای مخرب سعی در نصب بدافزار داشتند و برای فریب کاربر از روش‌های مهندسی اجتماعی بهره‌ می‌بردند ولی در این حمله می‌بینیم که هیچ یک از این موارد رخ نداده است. به‌عبارت دیگر مهاجمان می‌توانند به راحتی روش‌های مورد استفاده‌ی خود را تغییر داده و تأثیر عملیات خود را افزایش دهند.

منبع:security week

درباره نویسنده

پست های مرتبط

پاسخ دهید


خبرگزاری هرانا

نشانی ایمیل شما منتشر نخواهد شد.


Type The Green Captcha Characters Below.