رامونا پردازش نگار

آلوده‌سازی به کی‌لاگر از طریق فایل PDF

شرکت HP در گزارشی به بررسی فایلی PDF پرداخته که در قالب پیوست ایمیل و با طی مراحلی غیرمعمول اقدام به آلوده کردن دستگاه قربانی به جاسوس‌افزار می‌کند.

فایل مورد اشاره HP با نام REMMITANCE INVOICE.pdf خود حاوی فایلی DOCX است که در PDF به اصطلاح Embed شده است. در نتیجه در زمان باز کردن PDF، نرم‌افزار Adobe Reader در پیامی مشابه با شکل زیر به کاربر در خصوص فایل DOCX مذکور و ریسک اجرای آن اطلاع‌رسانی می‌کند.

اما مهاجمان فایل DOCX را بسیار زیرکانه “has been verified. However PDF, Jpeg, xlsx, .docx” نامگذاری کرده‌اند تا در پیام ظاهرشده از سوی Adobe این‌طور القا شود که فایل مذکور بررسی و تایید شده است.

چنانچه کاربر بر روی Open this file کلیک کرده و سپس OK را بزند فایل DOCX در نرم‌افزار Word باز می‌شود. حال اگر کاربر ناآگاه با کلیک بر روی Enable Editing فایل را از حالت Protected View خارج کند (تصویر زیر) با برقراری ارتباط با یک نشانی اینترنتی خاص، فایل دیگری، این بار از نوع RTF دانلود و اجرا می‌شود.

فایل RTF دانلودشده، f_document_shp.doc نام دارد. این فایل حاوی آبجکت‌های OLE متعددی است که احتمالاً برای گذر از سد سازوکارهای حفاظتی دستگاه نظیر ضدویروس مبهم‌سازی (Obfuscation) شده‌اند.

وظیفه f_document_shp.doc اکسپلویت یک آسیب‌پذیری قدیمی با شناسه CVE-2017-11882 و از نوع RCE در Microsoft Equation Editor است. هر چند از آبان 1396 وصله CVE-2017-11882 از سوی Microsoft در دسترس قرار گرفته اما عدم توجه برخی کاربران به اعمال اصلاحیه‌های امنیتی Office موجب شده که بهره‌جویی از آن همچنان در دستور کار مهاجمان سایبری قرار داشته باشد.

در نهایت این‌که مهاجمان با اکسپلویت CVE-2017-11882 از طریق f_document_shp.doc اقدام به اجرای fresh.exe که فایل نصبی جاسوس‌افزار Snake Keylogger است می‌کنند.

مشروح گزارش HP در اینجا در دسترس است.

 

مقابله

 

آگاهی کاربران در پرهیز از باز کردن پیوست‌های مشکوک و عدم کلیک بر روی لینک‌های ناآشنا نقشی کلیدی در ایمن ماندن از گزند این تهدیدات دارد. «آروید» محصولی پیشرفته برای رسیدن به این هدف است. این محصول، با شبیه‌سازی تهدیدات مبتنی بر ایمیل بر پایه جدیدترین نمونه‌های مخرب فعال در ایران و جهان به‌طور مؤثر و چشمگیر میزان آمادگی کارکنان سازمانتان را در مقابله با آنها افزایش می‌دهد. در صورت نیاز به اطلاعات بیشتر یا دموی این محصول با شماره ۹۱۰۳۱۹۷۳-۰۲۱ تماس بگیرید.

 

نشانه‌های آلودگی

EMMITANCE INVOICE.pdf
05dc0792a89e18f5485d9127d2063b343cfd2a5d497c9b5df91dc687f9a1341d

has been verified. however pdf, jpeg, xlsx, .docx
250d2cd13474133227c3199467a30f4e1e17de7c7c4190c4784e46ecf77e51fe

f_document_shp.doc
165305d6744591b745661e93dc9feaea73ee0a8ce4dbe93fde8f76d0fc2f8c3f

f_document_shp.doc_object_00001707.raw
297f318975256c22e5069d714dd42753b78b0a23e24266b9b67feb7352942962

Exploit shellcode
f1794bfabeae40abc925a14f4e9158b92616269ed9bcf9aff95d1c19fa79352e

fresh.exe (Snake Keylogger)
20a3e59a047b8a05c7fd31b62ee57ed3510787a979a23ce1fde4996514fae803

External OLE reference URL
hxxps://vtaurl[.]com/IHytw

External OLE reference final URL
hxxp://192.227.196[.]211/tea_shipping/f_document_shp.doc

Snake Keylogger payload URL
hxxp://192.227.196[.]211/FRESH/fresh.exe

Snake Keylogger exfiltration via SMTP
mail.saadzakhary[.]com:587

اشتراک در
اطلاع از
0 نظرات
بازخورد (Feedback) های اینلاین
مشاهده همه دیدگاه ها
مطالب اخیر
LockBit؛ فعال‌ترین باج‌افزار جهان از نگاهی نزدیک
فایل‌های فارسی ناقل اکسپلویت Follina
BlackCat؛ نمونه‌ای از خلاقیت بی‌پایان گردانندگان باج‌افزار
ترمیم بیش از ۶۰ آسیب‌پذیری در محصولات مایکروسافت
ESXi؛ این بار هدف باج‌افزار Black Basta
Symbiote؛ پنهانی‌ترین بدافزار تحت Linux
تکنیکی جدید برای انتشار بدافزار
بهره‌جویی گسترده از آسیب‌پذیری Follina
چالش‌های نیروی انسانی متخصص در حوزه امنیت سایبری
راهکاری موقت برای آسیب‌پذیری روز-صفر CVE-2022-30190
ایران؛ اولین کشور از لحاظ کثرت بدافزارهای موبایلی
خرید VMware توسط Broadcom با قیمت ۶۱ میلیارد دلار
آسیب‌پذیری ضدویروس‌ها؛ نگاهی به واکنش‌ها
41 ضعف امنیتی دیگر در فهرست آسیب‌پذیری‌های در حال بهره‌جویی
آلوده‌سازی به کی‌لاگر از طریق فایل PDF
Eternity؛ مجموعه‌ای از بدافزارهای مخرب
هشدار اضطراری در خصوص آسیب‌پذیری‌های اخیر VMware
SQLPS؛ پروسه‌ای معتبر در تسخیر استخراج‌کنندگان رمزارز
رایج‌ترین خطاها از نگاه 8 آژانس امنیتی
HTML؛ در نقش پیوست ایمیل فیشینگ

دانلود

لطفا برای دریافت لینک دانلود اطلاعات خواسته شده را وارد نمایید
0
علاقمندیم که دیدگاه‌های شما را بدانیم! لطفا نظر دهید.x
()
x
اسکرول به بالا