کمیته رکن چهارم – آسیبپذیری روز-صفرم که اخیراً در مایکروسافت آفیس کشف شده، توسط تروجان بانکی Dridex مورد بهرهبرداری قرار میگیرد تا رایانههای قربانیان را آلوده کند. جزئیات این آسیبپذیری توسط مکآفی و فایرآی تشریح شده و بهرهبرداری موفق از آن به مهاجم اجازه اجرای دستورات بر روی رایانهی آلوده را میدهد.
با استفاده از قابلیت OLE در آفیس، مهاجم میتواند یک سند RTF ایجاد کند که به یک پروندهی HTML بر روی کارگزار راه دور پیوند دارد. این پروندهی HTML در ادامه قابلیت اجرای یک اسکریپت مخرب ویژوال بیسیک را دارد. محققان پروفپوینت میگویند این آسیبپذیری در اسناد مخربی که در رایانامهها برای هزاران قربانی ارسال شده، مورد بهرهبرداری قرار میگیرد. این رایانامههای مخرب در ادامه منجر به نصب بدافزار Dridex بر روی ماشین قربانی میشود.
در این پویش تمامی پیامها از طرف آدرسی به شکل <[device]@[recipient’s domain]> ارسال شده که در بخش [device] عباراتی مانند copier ،documents ،noreply ،no-reply و یا scanner میتواند قرار بگیرد. موضوع رایانامه در تمامی موارد Scan Data است در حالیکه نام سند مخرب مایکروسافت ورد Scan_xxxx.doc یا Scan_xxxx.pdf است.
وقتی این سند مخرب باز شد، بهرهبرداری انجام شده و پس از اجرای یک سری دستورات، تروجان Dridex با شناسهی ۷۵۰۰ بر روی رایانهی قربانی نصب میشود. محققان امنیتی اشاره کردند برای بهرهبرداری از این آسیبپذیری هیچ نیازی به تعامل کاربر وجود ندارد. محققان امنیتی میگویند در چند وقت اخیر شاهد بودهایم که مهاجم از طریق هرزنامه و ماکروهای مخرب سعی در نصب بدافزار داشتند و برای فریب کاربر از روشهای مهندسی اجتماعی بهره میبردند ولی در این حمله میبینیم که هیچ یک از این موارد رخ نداده است. بهعبارت دیگر مهاجمان میتوانند به راحتی روشهای مورد استفادهی خود را تغییر داده و تأثیر عملیات خود را افزایش دهند.
منبع: security week/asis.io
