به گزارش خبرنامه پیامپرداز، حتما تا به حال این توصیه را شنیدهاید که اجرای macroها را غیرفعال کنید و در زمان فعال کردن آنها بهصورت دستی، بسیار مراقب باز کردن فایلهای word باشید. در حقیقت این راهکاری است مخصوص فایلهای Microsoft office که در طول دههی گذشته، همچنان توسط هکرها استفاده میشود، به خصوص از طریق فایلهای word که از طریق ایمیلهای spam فرستاده میشوند. اما در حملهی جدیدی که به تازگی شناسایی شده است، مشخص شد که نیازی نیست کاربر macroها را فعال کند. در عوض بدافزاری بر روی سیستم قربانی، با استفاده از دستورات PowerShell جاسازی شده در فایل (PowerPoint PPT) را اجرا میکند.
نکتهی جالب توجه آن است که کد مخرب PowerShell که در درون فایلها جاسازی شده است، به محض بردن اشارهگر ماوس (hover کردن) بر روی لینک، payload خود را بر روی سیستم دانلود میکند، بدون آن که نیازی به کلیک کردن بر روی لینک باشد.
محققان شرکت SentinelOne دریافتند که گروهی از هکرها با استفاده از فایلهای PowerPoint آلوده، اقدام به توزیع تروجان بانکی Zusy کردند که با نام Tinba هم شناخته شده است. آنها در گزارش خود اعلام کردند که این فایلهای آلوده با موضوعاتی مانند «سفارش خرید» (Purchase Order) و «تاییدیه» (Confirmation) ارسال شدهاند که به محض باز کردن آنها، متنِ «در حال بارگذاری…لطفا صبر کنید.» به عنوان hyperlink نشان داده میشود. پس از آن که کاربر نشانهگر ماوس خود را بر روی لینک ببرد به صورت خودکار کدِ PowerShell فعال میشود. البته در نسخههای Office 2013 و 2010 قابلیتِ امنیتی protected view به صورت پیشفرض فعال است و سریعا پیام اخطاری به کابر در مورد فعال یا غیرفعالکردن محتوا را نشان میدهد؛ در صورتی که کاربر به این پیام خطا اهمیت ندهد و محتوای فایل را مشاهده کند، بدافزار اقدام به اتصال به نام دامین cccn.nl خواهد کرد و در نتیجه تروجان بانکی Zusy نصب خواهد شد.
محقق دیگری به نام « روبن دنیل داج »نیز پس از تحلیل این حملات تایید کرد که این حملات از هیچگونه ماکرو، JavaScript و VBA به عنوان روشی جهت اجرا، استفاده نمیکنند.
محققان اعلام کردهاند، در صورتی که فایل آلوده در PowerPoint Viewer باز شود، سیستم را آلوده نخواهد کرد زیرا اجازهی اجرای برنامهای را نمیدهد. اما همچنان این روش از آلوده کردن سیستم میتواند مورد استفاده قرار گیرد.
منبع: The Hacker News