کشف یک بدافزار جدید در قاره آسیا

کاربران کشورهای ویتنام، هند، چین، تایوان و احتمالا کشورهای دیگر آسیا هدف حمله بدافزاری قرار گرفتند که از اسناد Word مایکروسافت استفاده می‌کند تا برنامه راه نفوذ مخفی را نصب کند و به مهاجمان اجازه دهد تا اطلاعات کاربران را به سرقت ببرند. در این حملات هدفمند از اسناد Word دستکاری شده استفاده می‌شود و از طریق پست الکترونیکی برای قربانیان مورد نظر فرستاده می‌شود. این اسناد از آسیب‌پذیری‌های شناخته شده سوء استفاده می‌کند که سیستم‌هایی را تحت تاثیر قرار می‌دهد که مایکروسافت آفیس را به روز رسانی نکرده‌اند. زمانی که این اسناد مخرب باز شوند، دو سند از آسیب‌پذیری‌های اجرای کد از راه دور در مولفه کنترلی ویندوز سوءاستفاده می‌کند. این آسیب‌پذیری‌ها با عنوان CVE-۲۰۱۲-۰۱۵۸ و CVE-۲۰۱۲-۱۸۵۶ شناخته می‌شوند و مایکروسافت آفیس نسخه‌های ۲۰۰۳، ۲۰۰۷ و ۲۰۱۰ را تحت تاثیر قرار می‌دهند. در سال ۲۰۱۲ شرکت مایکروسافت این آسیب‌پذیری‌ها را به عنوان بخشی از بولتن‌های امنیتی MS۱۲-۰۲۷ و MS۱۲-۰۶۰ اصلاح کرد. اسناد مخرب یک برنامه راه نفوذ مخفی را نصب می‌کند که محققان Rapid۷ آن را KeyBoy نامیدند. این بدافزار یک سرویس جدید ویندوزی را ثبت می‌کند که MdAdum نامیده می شود و می‌تواند یک فایل DLL مخرب را با نام CREDRIVER.dll بارگذاری کند. بنا بر اعلام مرکز ماهر، بدافزار KeyBoy اعتبارنامه‌های ذخیره شده در اینترنت اکسپلورر و موزیلا فایرفاکس را به سرقت می‌برد و یک مولفه keylogger را نصب می‌کند که می‌تواند اعتبارنامه‌های ذخیره شده در گوگل کروم را نیز به سرقت ببرد. همچنین این راه نفوذ مخفی به مهاجمان اجازه می‌دهد تا اطلاعات کامپیوترهای هدف حمله، فهرست دایرکتوری‌ها را به دست آورند و فایل‌های دلخواه را دانلود یا آپلود کند. علاوه بر این، این بدافزار می‌تواند یک پوسته فرمان (command shell) ویندوز را بر روی سیستم آلوده باز کند و به این ترتیب دستورات ویندوز را از راه دور بر روی آن سیستم اجرا کند.