روشی جدید برای نفوذ به سیستم از طریق فایل‌های PowerPoint

روشی جدید برای نفوذ به سیستم از طریق فایل‌های PowerPoint

به گزارش خبرنامه پیام‌پرداز، حتما تا به حال این توصیه را شنیده‌اید که اجرای macroها را غیرفعال کنید و در زمان فعال کردن آن‌ها به‌صورت دستی، بسیار مراقب باز کردن فایل‌های word باشید. در حقیقت این راهکاری است مخصوص فایل‌های Microsoft office که در طول دهه‌ی گذشته، هم‌چنان توسط هکرها استفاده می‌شود، به خصوص از طریق فایل‌های word که از طریق ایمیل‌های spam فرستاده می‌شوند. اما در حمله‌ی جدیدی که به تازگی شناسایی شده است، مشخص شد که نیازی نیست کاربر macroها را فعال کند. در عوض بدافزاری بر روی سیستم قربانی، با استفاده از دستورات PowerShell جاسازی شده در فایل (PowerPoint PPT) را اجرا می‌کند.

نکته‌ی جالب توجه آن است که کد مخرب PowerShell که در درون فایل‌ها جاسازی شده است، به محض بردن اشاره‌گر ماوس (hover کردن) بر روی لینک، payload خود را بر روی سیستم دانلود می‌کند، بدون آن که نیازی به کلیک کردن بر روی لینک باشد.

محققان شرکت SentinelOne دریافتند که گروهی از هکرها با استفاده از فایل‌های PowerPoint آلوده، اقدام به توزیع تروجان بانکی Zusy کردند که با نام Tinba هم شناخته شده است. آن‌ها در گزارش خود اعلام کردند که این فایل‌های آلوده با موضوعاتی مانند «سفارش خرید» (Purchase Order) و «تاییدیه» (Confirmation) ارسال شده‌اند که به محض باز کردن آن‌ها، متنِ «در حال بارگذاری…لطفا صبر کنید.» به عنوان hyperlink نشان داده می‌شود. پس از آن که کاربر نشانه‌گر ماوس خود را بر روی لینک ببرد به صورت خودکار کدِ PowerShell فعال می‌شود. البته در نسخه‌های Office 2013 و 2010 قابلیتِ امنیتی protected view به صورت پیش‌فرض فعال است و سریعا پیام اخطاری به کابر در مورد فعال یا غیرفعال‌کردن محتوا را نشان می‌دهد؛ در صورتی که کاربر به این پیام خطا اهمیت ندهد و محتوای فایل را مشاهده کند، بدافزار اقدام به اتصال به نام دامین cccn.nl خواهد کرد و در نتیجه تروجان بانکی Zusy نصب خواهد شد.

محقق دیگری به نام « روبن دنیل داج »نیز پس از تحلیل این حملات تایید کرد که این حملات از هیچ‌گونه ماکرو، JavaScript و VBA به عنوان روشی جهت اجرا، استفاده نمی‌کنند.

محققان اعلام کرده‌اند، در صورتی که فایل آلوده در PowerPoint Viewer باز شود، سیستم را آلوده نخواهد کرد زیرا اجازه‌ی اجرای برنامه‌ای را نمی‌دهد. اما هم‌چنان این روش از آلوده کردن سیستم می‌تواند مورد استفاده قرار گیرد.

منبع: The Hacker News