بدافزار FlawedAmmyy از طریق فایل‌های اکسل آلوده در حال گسترش است

آی‌تی‌من- به گزارش مرکز افتا، به نقل از وب‌سایت GBHackers، حملات قبلی که بدافزار FlawedAmmyy را منتقل می‌کردند توسط عوامل تهدید TA۵۰۵ انجام شده بودند. در این حملات با اجرای موفق درپشتی، مهاجم سیستم هدف را تحت کنترل خود در می‌آورد و می‌تواند فایل‌های قربانی را مدیریت کند و از صفحه اسکرین‌شات بگیرد.

اما در حملات اخیر، از فایل‌های XLS مخرب در ایمیل‌ها استفاده شده است. این فایل‌ها پس از اجرا به طور خودکار یک ماکرو را اجرا می‌کنند و سپس این ماکرو فایل msiexec.exe را اجرا می‌کند. فایل msiexec.exe برای دانلود و نصب بسته‌های MSI و MSP در ویندوز به کار می‌رود. این فایل سپس یک فایل اجرایی دیگر با نام wsus.exe را رمزگشایی و در حافظه اجرا می‌کند. این زنجیره در نهایت منجر به رمزگشایی و اجرای payload نهایی در حافظه می‌شود.

به گفته تیم امنیتی مایکروسافت، payload نهایی که مستقیما به حافظه منتقل می‌شود همان بدافزار FlawedAmmyy است. از قابلیت‌های FlawedAmmyy می‌توان به موارد زیر اشاره کرد:
•    کنترل از راه دور دسکتاپ،
•    مدیریت فایل‌های سیستم،
•    پشتیبانی از پراکسی،
•    گفتگوی صوتی.

در اوایل سال جاری نیز گروه TA۵۰۵ تروجان FlawedAmmyy را از طریق اسناد اکسل مخرب و حاوی کد ماکرو منتشر کرده بود که به سختی با کنترل‌های امنیتی استاندارد قابل شناسایی بود.

نشانه‌های آلودگی (IoC):

هش‌ها: