روش مخفی انتقال بدافزار از طریق آفیس

روش مخفی انتقال بدافزار از طریق آفیس
تاریخ انتشار : ۰۷ آبان ۱۳۹۷

اخیرا یک روش مخفی انتقال بدافزار کشف شده است. این روش بدین صورت عمل می‌کند که مهاجم در اسناد Microsoft Word ویدئو قرار می‌دهد که کاربر پس از کلیک روی ویدئو درج شده در سند، باعث می‌شود تا کد جاوااسکریپت موجود اجرا شود.

به گزارش گرداب، پژوهشگران Cymulate حمله اثبات مفهومی (PoC) این روش را ایجاد کردند که با استفاده از یک لینک ویدئو YouTube و یک سند ایجاد شده است.

ویژگی درج ویدئو در Word یک اسکریپت HTML در پشت تصویر ویدئو (thumbnail) ایجاد می‌کند که پس از کلیک روی تصویر ویدئو، اسکریپت ایجاد شده توسط مرورگر اینترنت اکسپلورر اجرا می‌شود.

اسکریپت HTML درج شده حاوی یک بدافزار رمزشده با Base۶۴ است که بخش مدیریت دانلود را برای مرورگر اینترنت اکسپلورر باز می‌کند و بدافزار را نصب می‌کند. از نظر کاربر، ویدئو کاملا قانونی بنظر می‌رسد، اما بدافزار به طور مخفیانه و در پس‌زمینه نصب می‌شود.

به گفته پژوهشگران، با بهره‌برداری موفق از این آسیب‌پذیری، اجرای هر کدی از جمله نصب باج‌افزار یا تروجان امکان‌پذیر خواهد بود. ممکن است برنامه‌های ضد ویروس بدنه منتقل شده را شناسایی کنند، اما سوء استفاده از بدنه‌های روز صفر می‌تواند بهترین بازدهی را برای مهاجمین داشته باشد. 

مهاجم باید قربانی را مجاب کند را سند مخرب را باز کند و روی ویدئو درج شده کلیک کند، از این رو استفاده از مهندسی اجتماعی و فیشینگ بهترین روش حمله است. نکته دیگر این است که برنامه Word هیچ هشداری را پس از کلیک روی ویدئو درج شده نمایش نمی‌دهد.

پژوهشگران گفته‌اند که این رویکرد به طور بالقوه تمامی کاربران Office ۲۰۱۶ و قدیمی‌تر را تحت تاثیر قرار می‌دهد.

برای محافظت از این رویکرد، سازمان‌ها باید اسناد Word حاوی ویدئوهای درج شده را مسدود کنند و اطمینان حاصل کنند تا برنامه ضدویروس آنها به روز باشد. اسناد Word که دارای تگ embeddedHtml در فایل Document.xml اسناد Word هستند نیز باید مسدود شوند. 


منبع: افتا