کشف یک بدافزار جدید در قاره آسیا
کاربران کشورهای ویتنام، هند، چین، تایوان و احتمالا کشورهای دیگر آسیا هدف حمله بدافزاری قرار گرفتند که از اسناد Word مایکروسافت استفاده میکند تا برنامه راه نفوذ مخفی را نصب کند و به مهاجمان اجازه دهد تا اطلاعات کاربران را به سرقت ببرند. در این حملات هدفمند از اسناد Word دستکاری شده استفاده میشود و از طریق پست الکترونیکی برای قربانیان مورد نظر فرستاده میشود. این اسناد از آسیبپذیریهای شناخته شده سوء استفاده میکند که سیستمهایی را تحت تاثیر قرار میدهد که مایکروسافت آفیس را به روز رسانی نکردهاند.
کاربران کشورهای ویتنام، هند، چین، تایوان و احتمالا کشورهای دیگر آسیا هدف حمله بدافزاری قرار گرفتند که از اسناد Word مایکروسافت استفاده میکند تا برنامه راه نفوذ مخفی را نصب کند و به مهاجمان اجازه دهد تا اطلاعات کاربران را به سرقت ببرند. در این حملات هدفمند از اسناد Word دستکاری شده استفاده میشود و از طریق پست الکترونیکی برای قربانیان مورد نظر فرستاده میشود. این اسناد از آسیبپذیریهای شناخته شده سوء استفاده میکند که سیستمهایی را تحت تاثیر قرار میدهد که مایکروسافت آفیس را به روز رسانی نکردهاند. زمانی که این اسناد مخرب باز شوند، دو سند از آسیبپذیریهای اجرای کد از راه دور در مولفه کنترلی ویندوز سوءاستفاده میکند. این آسیبپذیریها با عنوان CVE-۲۰۱۲-۰۱۵۸ و CVE-۲۰۱۲-۱۸۵۶ شناخته میشوند و مایکروسافت آفیس نسخههای ۲۰۰۳، ۲۰۰۷ و ۲۰۱۰ را تحت تاثیر قرار میدهند. در سال ۲۰۱۲ شرکت مایکروسافت این آسیبپذیریها را به عنوان بخشی از بولتنهای امنیتی MS۱۲-۰۲۷ و MS۱۲-۰۶۰ اصلاح کرد. اسناد مخرب یک برنامه راه نفوذ مخفی را نصب میکند که محققان Rapid۷ آن را KeyBoy نامیدند. این بدافزار یک سرویس جدید ویندوزی را ثبت میکند که MdAdum نامیده می شود و میتواند یک فایل DLL مخرب را با نام CREDRIVER.dll بارگذاری کند. بنا بر اعلام مرکز ماهر، بدافزار KeyBoy اعتبارنامههای ذخیره شده در اینترنت اکسپلورر و موزیلا فایرفاکس را به سرقت میبرد و یک مولفه keylogger را نصب میکند که میتواند اعتبارنامههای ذخیره شده در گوگل کروم را نیز به سرقت ببرد. همچنین این راه نفوذ مخفی به مهاجمان اجازه میدهد تا اطلاعات کامپیوترهای هدف حمله، فهرست دایرکتوریها را به دست آورند و فایلهای دلخواه را دانلود یا آپلود کند. علاوه بر این، این بدافزار میتواند یک پوسته فرمان (command shell) ویندوز را بر روی سیستم آلوده باز کند و به این ترتیب دستورات ویندوز را از راه دور بر روی آن سیستم اجرا کند.
ارسال نظر