ایمیلهای ناشناس حاوی اسناد ورد و اکسل را باز نکنید!
شناسایی دو بدافزار جدید که از طریق حملات اسپم قربانی میگیرند
تاریخ انتشار
يکشنبه ۱۶ تير ۱۳۹۸ ساعت ۱۸:۳۴
آیتیمن- به گزارش مرکز افتا، به نقل از وبسایت Bleeping Computer، این حملات که به گروه TA۵۰۵ نسبت داده شده است، از طریق ایمیلهای اسپم حاوی اسناد DOC و XLS انجام میشوند. بدافزار پس از باز شدن اسناد مخرب، توسط ماکروهای VBA منتقل میشود. در برخی از نمونهها از URLهای مخرب که به تروجان FlawedAmmyy RAT منتهی میشوند، استفاده شده است.
نمونهای از ایمیل حاوی اسپم
ویژگی قابل توجه بدافزار Gelup استفاده از مبهمسازی و یک تکنیک دور زدن UAC (کنترل حساب کاربری) است. توسعهدهندگان Gelup چندین تکنیک مختلف را به منظور جلوگیری از تحلیل و شناسایی فرایند آلودگی طراحی کردهاند تا بدافزار تا حد امکان مخفی بماند. برای کسب پایداری در سیستم هدف، بدافزار Gelup یک فرایند را زمانبندی میکند که این فرایند یک فایل LNK را در سطل بازیافت (Recycle Bin) سیستم قرار میدهد.
روش دیگر برای کسب پایداری، اضافه کردن یک ورودی رجیستری است. پژوهشگران Proofpoint بدافزار دانلودکننده را AndroMut نامگذاری کردهاند و چندین همپوشانی بین این بدافزار و بدافزارهای Andromeda و QtLoader کشف کردهاند.
بدافزار دوم در این حملات درپشتی FlowerPippi است که دارای قابلیت انتقال payloadهای مخرب دیگر در سیستم هدف است. Payloadها در قالب فایلهای اجرایی یا DLL هستند. این درپشتی میتواند اطلاعات رایانه قربانی را استخراج کند و دستورات دلخواه دریافت شده از سرور فرمان و کنترل را اجرا کند.
نمونهای از اسناد اکسل آلوده به بدافزار
حملات دیگری نیز توسط گروه TA۵۰۵ در هفتههای گذشته مشاهده شده که تروجان FlawedAmmyy از طریق فایلهای اکسل مخرب در آنها انتشار یافته است. این حملات توسط پژوهشگران مایکروسافت شناسایی شدند و در آنها از آسیبپذیری CVE-۲۰۱۷-۱۱۸۸۲ سوء استفاده شده است.