بدافزار SmokeLoader از آفیس برای دزدیدن داده ها استفاده میکند
بدافزار SmokeLoader با بهرهبرداری از آسیبپذیریهای MS Office برای سرقت اطلاعات مرورگرها وارد عمل شد. پژوهشگران امنیت سایبری در آزمایشگاه FortiGuard آزمایشگاه Fortinet، یک سری حملات جدید بدافزاری را کشف کردهاند که هدف آنها شرکتها و صنایع تایوانی است. به گزارش سرویس هک و امنیت رسانه اخبار فناوری تکنا، این حملات که به بدافزار SmokeLoader […] منبع خبر بدافزار SmokeLoader از آفیس برای دزدیدن داده ها استفاده میکند پایگاه خبری تکنا به آدرس تکنا میباشد.
بدافزار SmokeLoader با بهرهبرداری از آسیبپذیریهای MS Office برای سرقت اطلاعات مرورگرها وارد عمل شد. پژوهشگران امنیت سایبری در آزمایشگاه FortiGuard آزمایشگاه Fortinet، یک سری حملات جدید بدافزاری را کشف کردهاند که هدف آنها شرکتها و صنایع تایوانی است.
به گزارش سرویس هک و امنیت رسانه اخبار فناوری تکنا، این حملات که به بدافزار SmokeLoader نسبت داده شدهاند، صنایع مختلفی از جمله تولید، بهداشت و درمان، فناوری اطلاعات و غیره را هدف قرار دادهاند. بدافزار SmokeLoader که بهخاطر توانایی خود در انتقال بارهای مخرب دیگر شناخته میشود، در این کمپین نقش مستقیمتری ایفا کرده و از پلاگینهای خود برای اجرای حملات و سرقت اطلاعات حساس استفاده میکند.
براساس تحقیقات انجامشده توسط FortiGuard Labs، حملات با ایمیلهای فیشینگ آغاز شد که ضمائم مخربی را شامل میشدند. این ضمائم بهمنظور بهرهبرداری از آسیبپذیریهای موجود در مایکروسافت آفیس طراحی شده بودند. این آسیبپذیریها شامل CVE-2017-0199 بودند که اجازه میدهد اسناد مخرب بهطور خودکار بارگیری و اجرا شوند و CVE-2017-11882 که آسیبپذیری موجود در ویرایشگر معادلات مایکروسافت آفیس را برای اجرای کد از راه دور بهرهبرداری میکند.
ایمیلها که به زبان تایوانی نوشته شده بودند، قانعکننده به نظر میرسیدند، اما دارای ناهماهنگیهایی مانند تغییر در فونتها و رنگها بودند که نشان میداد متن از جایی کپی شده است.
پس از باز شدن ضمیمه مخرب، بدافزار SmokeLoader دانلود و اجرا میشود و ارتباط خود را با سرور فرماندهی و کنترل (C2) برقرار میکند. سپس، بدافزار پلاگینهای مختلفی را دانلود میکند که هرکدام برای هدف قرار دادن برنامههای خاص و استخراج اطلاعات حساس طراحی شدهاند.
پلاگینهای استفادهشده توسط SmokeLoader برای هدف قرار دادن مرورگرهای وب محبوب، مشتریان ایمیل و نرمافزارهای پروتکل انتقال فایل (FTP) از جمله Internet Explorer، Firefox، Chrome، Opera، Outlook، Thunderbird و FileZilla طراحی شده بودند. این بدافزار قادر بود تا اعتبارنامههای ورود، دادههای پرشده بهصورت خودکار و حتی آدرسهای ایمیل را از این برنامهها استخراج کند.
یکی از پلاگینها که به نام Plugin 4 شناخته میشود، برای پاککردن کوکیها از مرورگرهای هدف طراحی شده بود، بهطوری که قربانیان مجبور به وارد کردن مجدد اعتبارنامههای خود میشدند. پلاگین دیگر، به نام Plugin 8، برای تزریق کد ثبتفشار کلیدها (keylogging) به داخل explorer.exe استفاده میشد که به بدافزار اجازه میدهد ورودیهای صفحهکلید و محتوای حافظه موقت را ضبط کند.
همچنین مشخص شد که بدافزار SmokeLoader از تکنیکهای پیشرفتهای برای فرار از تشخیص استفاده میکند، از جمله فریبکاری کد، ضد اشکالزدایی و فرار از محیطهای شبیهسازی (sandbox). طراحی مدولار این بدافزار اجازه میدهد تا به سناریوهای مختلف حمله سازگار شود و آن را به تهدیدی قدرتمند برای سازمانها تبدیل کند.
آزمایشگاههای FortiGuard این بدافزار را شناسایی و مسدود کرده و درجه شدت آن را “بالا” اعلام کردهاند. این شرکت همچنین حفاظتهایی برای مشتریان خود فراهم کرده است، از جمله امضاهای آنتیویروس و قوانین IPS برای شناسایی و پیشگیری از بدافزار.
کاسی الیس، بنیانگذار و مشاور Bugcrowd، یک شرکت پیشرو در امنیت سایبری مبتنی بر جمعسپاری، به Hackread.com گفته است که استفاده از SmokeLoader با الگوی جهانی گستردهتری از مهاجمین سایبری که در حال آمادهسازی برای حملات آینده از طریق نفوذ به سیستمها هستند، همراستا است.
او در ادامه توضیح داد: “با توجه به وضعیت ژئوپولیتیکی، تایوان برای تفکر درباره تهدیدات پیشرفته پایدار (APTها) غریبه نیست و استفاده از SmokeLoader به نظر میرسد با روند عمومی پیشموقعیتیابی که در سایر نقاط جهان مشاهده کردهایم، هماهنگ است.”
چگونه از خود در برابر این تهدید محافظت کنیم؟ برای جلوگیری از گرفتار شدن به بدافزار SmokeLoader، بسیار مهم است که هنگام دریافت ایمیل از منابع ناشناس یا مشکوک محتاط باشید. از کلیک بر روی لینکها یا دانلود پیوستها خودداری کنید، بهویژه اگر از شما خواسته شود که ماکروها را فعال کرده یا فایلهایی را اجرا کنید.
اگر نسبت به ایمیلی حتی از یک منبع آشنا شک دارید، محتوای آن را بهدقت بررسی کنید. لینکها، فایلها و پیوستها را با استفاده از ابزارهایی مانند VirusTotal یا نرمافزار امنیتی سیستم خود اسکن کنید تا از ایمن بودن آنها اطمینان حاصل کنید.
منبع این خبر رسانه فناوری تکنا است. برای دیدن دیگر خبرها به تکنا مراجعه کنید.
منبع خبر بدافزار SmokeLoader از آفیس برای دزدیدن داده ها استفاده میکند پایگاه خبری تکنا به آدرس تکنا میباشد.
واکنش شما چیست؟