کمیته رکن چهارم – محققان امنیتی در مورد خطر کمپین هرزنامهای هشدار دادند که با استفاده از بدافزار PowerSniff file-less اقدام به حمله مبتنی بر ماکرو میکند.
به گزارش کمیته رکن چهارم،محققان شرکت Palo Alto Networks مدعی شدهاند که طی هفته گذشته حدود ۱۵۰۰ ایمیل در قالب یک کمپین هدفمند ارسال شدهاند که حاوی اطلاعات خاصی از شرکت قربانی از جمله نام، شمارههای تلفن و آدرس بودهاند.
این کمپین بهگونهای طراحی شده است تا از طریق روش مهندسی اجتماعی بتواند با جلب اعتماد گیرنده ایمیل، وی را به باز کردن پیوست ارسالی مجاب کند. اگر سند ورد باز شود، قربانی با ماکرویی در داخل فایل مواجه میشود که تلاش دارد خود را تا زمانی که سند باز است اجرا کند.
فایل دانلود شده یک اسکریپت PowerShell حاوی shellcode است که بعد از کدشکنی و اجرا، یک payload گنجانده شده را اجرا میکند که وظیفهاش کنترل و گشت اکتشافی است.این اقدام مشابه رفتاری است که از سوی خانواده بدافزار Ursnif در اواسط سال ۲۰۱۵ اتخاذ شده بود.
از آن جا که بدافزار File-less مثل Powersniff بدون برجای گذاشتن ردی از خود در فضای مجازی و کشف شدن از سوی ابزار شناسایی سنتی قادر به مختل کردن سیستمها است، از این رو تهدیدی جدی برای شرکتها به حساب میآید.
از یک طرف وجود دادههایی از قربانی در ایمیلهای هرزنامه و از طرف دیگر قابلیت ساکن شدن این بدافزار در حافظه موجب میشود تا خطری که قربانیان این کمپین را تهدید میکند بیش از پیش جدی گرفته شود.
چون این بدافزار در داخل ماکروهای مخرب در درون اسناد مایکروسافت ورد قرار میگیرد ، کاربران باید ضمن اطمینان حاصل کردن از فعال نشدن این ماکروها بهصورت پیشفرض، مراقب باز کردن ماکروها در فایلهای دریافتی از منابع نامعتبر نیز باشند.
دوشادوش افزایش کمپینهای باجافزاری، حملات مبتنی بر ماکرو نیز از سال گذشته روند صعودی داشتهاند، بهنحوی که میزان تهدیدات مبتنی بر ماکرو از ۱۰ هزار حمله در سهماهه سوم سال ۲۰۱۴ به تقریباً ۴۵ هزار مورد در سال ۲۰۱۵ رسیده است .
همچنین این شرکت امنیتی در سهماهه اول سال ۲۰۱۵ موفق به شناسایی ۷۴,۴۷۱ مورد حمله file-less شده است.
مرجع : پاپسا
