کمیته رکن چهارم – محققان امنیتی تکنیک حمله بدون فایل (Fileless) جدیدی کشف کرده اند که با سواستفاده از سرویس گزارش خطا ویندوز (WER) سیستم قربانی را آلوده میکند.
یک گروه هک ناشناخته تکنیک جدیدی برای هک ابداع کرده است که در آن بدافزار در فایلهای اجرایی مبتنی بر سرویس گزارش خطای مایکروسافت ویندوز (Microsoft Windows Error Reporting) پنهان میشود.
به گفته محققان امنیتی شرکت Malwarebytes، این حمله Kraken جدید اولین بار در تاریخ ۲۷ شهریور ماه امسال کشف شده است. محققان امنیتی یک فایل ZIP حاوی فایل ورد با عنوان Compensation manual پیدا کردهاند که در ظاهر در رابطه با حقوق و دستمزد کارمندان است، اما به محض باز شدن یک ماکرو مخرب اجرا میکند.
این ماکرو از نسخه سفارشی ماژول CactusTorch VBA برای اجرای حمله بدون فایل از طریق shellcode استفاده میکند. CactusTorch قادر به بارگذاری یکی از فایلهای Net. به نام Kraken.dll در حافظه بوده و آنرا از طریق VBScript اجرا میکند. این پیلود سپس shellcode را به درون فایل WerFault.exe تزریق میکند. این فایل اجرایی به سرویس WER متصل بوده و مایکروسافت از آن برای ردیابی و رفع خطاهای ویندوز استفاده میکند.
به گفته محققان shellcode پس از آلوده کردن فایل اجرایی، یک درخواست HTTP به یک دامنه به منظور دانلود بدافزارهای دیگر میفرستد. محققان هنوز نتوانستهاند گروه هکی که این حمله Kraken را ابداع کرده شناسایی کنند، اما به نشانههایی دست پیدا کردهاند که به گروه ویتنامی APT32 یا OceanLotus ربط داده شده که برخی کارشناسان آن را مسئول حمله به سرورهای BMW و هیوندای در سال ۲۰۱۹ میدانند.
منبع : دیجیاتو
