به گزارش
گرداب، در این حملات از یکی از ابزارهای ویندوز به نام Windows Management Instrumentation Command-line (WMIC) بهره می برند. این ابزار یک رابط command-line برای رابط مدیریت ویندوز یا WMI است. WMI برای فعالیت های مدیریتی محلی و از راه دور در ویندوز استفاده می شود و می تواند برای جستجو و گزارش گیری از تنظیمات سیستم، کنترل فرایندهای پردازشی و اجرای اسکریپت ها بکار گرفته شود.
در این حملات از فایل های XSL و ابزار WMIC برای سرقت مخفیانه اطلاعات از سیستم های ویندوزی استفاده شده است. حمله با فیشینگ آغاز می شود و لینکی برای قربانی ارسال می شود. قربانی با کلیک بر روی لینک از طریق یک فایل میانبر که حاوی یک دستور WMIC است، یک فایل مخرب XSL را از سرور از راه دور دانلود می کند.
فایل XSL مخرب دارای کد جاوا اسکریپتی است که از طریق mshta.exe اجرا می شود. این فایل exe یک فرایند پردازشی قانونی مربوط به ویندوز است که برای اجرای Microsoft HTML Application Host بکار می رود.
کد جاوااسکریپت حاوی لیستی از ۵۲ دامنه است و از آن برای تولید دامنه و پورت تصادفی استفاده می شود تا فایل های HTA و سه فایل DLL را دانلود کند. سپس این فایل ها و بدنه اصلی در regsvr۳۲.exe ثبت می شوند. در ادامه ماژول های اضافی دیگری دانلود می شوند که منجر به آلوده سازی و نفوذ به رایانه قربانی می شوند.
بدنه اصلی دارای ماژول های موثری جهت دزدی اطلاعات است. این ماژول ها شامل MailPassview برای سرقت گذرواژه ایمیل، WebBrowser Passview برای سرقت اطلاعات احرازهویت مرورگر، یک Keylogger، در پشتی برای پایداری و یک مرورگر فایل برای مشاهده و استخراج فایل ها هستند. به گفته Symantec، این اولین باری نیست که مهاجمین از WMI استفاده می کنند. همچنین استفاده از WMIC نیز به مهاجمین کمک می کند تا فعالیت آنها مخفی بماند.