فایل‌های ورد مایکروسافت دردسرساز شدند

کمیته رکن چهارم – محققان امنیت سایبری آسیب‌پذیری جدیدی در ورد مایکروسافت کشف کرده‌اند که منجر به انتشار بدافزار می‌شود.

اسناد مایکروسافت ورد از آسیب‌پذیری اجرای کد از راه دور سواستفاده می‌کند و با استفاده از فیشینگ، بدافزاری به نام LokiBot را در سیستم نصب می‌کند. کارا لین محقق آزمایشگاه Fortinet FortiGuard گفت: «LokiBot، از سال ۲۰۱۵ به عنوان یک تروجان سرقت اطلاعات شناخته شده است.

این آسیب‌پذیری سیستم‌های ویندوز را هدف قرار می دهد و هدف آن جمع آوری اطلاعات حساس از سیستم‌ها است.” شرکت امنیت سایبری این آسیب‌پذیری را در می ۲۰۲۳ شناسایی کرده است. این حملات از آسیب‌پذیری‌های CVE-2021-40444 و CVE-2022-30190 برای نصب بدافزار به سیستم های قربانیان سوء‌استفاده می‌کنند.

فایل Word که با ‌استفاده از آسیب‌پذیری CVE-2021-40444 که حاوی یک لینک GoFile خارجی است و در یک فایل XML تعبیه شده است که منجر‌به دانلود یک فایل HTML می شود و LokiBot را رمزگشایی و راه اندازی می کند، سوء استفاده می کند. این آسیب‌پذیری‌ همچنین دارای تکنیکهایی است که برای بررسی وجود دیباگرها و تعیین اینکه آیا در یک محیط مجازی اجرا میشود، بکار میرود.

یک روش دیگر که در اواخر ماه می کشف شد توسط یک سند Word شروع می شود که شامل یک اسکریپت ویژوال بیسیک (VBA) است که بلافاصله پس از باز کردن سند با استفاده از توابع “Auto_Open” و “Document_Open” یک بد‌افزار ماکرو را اجرا می کند.

اسکریپت ماکرو متعاقباً به عنوان مجرای برای انتقال payload موقت از یک سرور راه دور عمل می کند، که همچنین به عنوان یک انژکتور برای بارگذاری LokiBot و اتصال به یک سرور فرمان و کنترل (C&C server) عمل می کند.

LokiBot، دارای قابلیت‌هایی برای ثبت ضربه‌های کلید، گرفتن اسکرین شات، جمع‌آوری اطلاعات اعتبار ورود به سیستم از مرورگرهای وب، و siphon داده‌ها از انواع کیف پول‌های ارزهای دیجیتال است.

LokiBot یک بدافزار قدیمی و گسترده است که سال‌هاست فعال است. عملکردهای آن در طول زمان به بلوغ رسیده است و استفاده مجرمان سایبری را برای سرقت داده های حساس از قربانیان آسان می کند. مهاجمان پشت LokiBot به طور مداوم روش های دسترسی اولیه خود را به روز می کنند و به کمپین بدافزار آنها اجازه می دهند راه های کارآمدتری برای انتشار و آلوده کردن سیستم ها پیدا کنند.

منبع : افتانا

درباره نویسنده

پست های مرتبط

پاسخ دهید


خبرگزاری هرانا

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *


Type The Blue Captcha Characters Below.