خلاصه: خیلی زود پساز اینکه جزئیات تکنیک حملهی DDE منتشر شد، محققان گروه امنیتی سیسکوتالوس در مورد کمپین حملهای که بهطور فعال از این تکنیک حمله، با یک تروجان دسترسی از راه دور به نام DNSMessenger علیه چندین سازمان، بهرهبرداری میکردند، گزارش دادند. اکنون هکرهایی پیدا شدهاند که از Necurs Botnet برای توزیع باجافزار Locky و تروجان بانکی TrickBot با استفاده از اسناد Word، که تکنیک حملهی DDE جدید را فراهم میکند، استفاده میکنند. یک کمپین اسپم بدافزار جداگانهی دیگر نیز با استفاده از اکسپلویت DDE مایکروسافتآفیس بدافزار Hancitor را توزیع میکند.
یک متد حملهی جدید وصله نشده که از یک ویژگی مایکروسافتآفیس بهرهبرداری میکند، اخیرا در حملات مختلف گستردهی بدافزاری استفاده شده است. هفتهی گذشته گزارش کردیم که چگونه هکرها میتوانند از یک ویژگی قدیمی مایکروسافتآفیس بهنام DDE برای اجرای کد مخرب بر روی دستگاه هدف بدون نیاز به فعالکردن ماکرو استفاده کنند.
خیلی زود پس از اینکه جزئیات تکنیک حملهی DDE منتشر شد، محققان گروه امنیتی سیسکوتالوس در مورد کمپین حملهای که به طور فعال از این تکنیک حمله، با یک تروجان دسترسی از راه دور به نام DNSMessenger به صورت گسترده علیه چندین سازمان بهرهبرداری میکردند، گزارش دادند.
اکنون هکرهایی پیدا شدهاند که از Necurs Botnet برای توزیع باجافزار Locky و تروجان بانکی TrickBot با استفاده از اسناد Word، که تکنیک حملهی DDE جدید را فراهم میکند، استفاده میکنند. (Necurs Botnet بدافزاری است که اخیرا شش میلیون کامپیوتر آلودهشده را کنترل میکند و میلیونها ایمیل ارسال میکند.)
هکرهای باجافزار Locky قبلا به اسناد مایکروسافتآفیس مبتنی بر ماکروها متکی بودند، اما اکنون آنها باتنت Necurs را برای ارسال بدافزار از طریق اکسپلویت DDE و بدست آوردن قابلیت گرفتن اسکرینشات از دسکتاپ هدف، بهروزرسانی کردهاند.
یک کمپین اسپم بدافزار جداگانهی دیگر نیز توسط محققان امنیتی کشف شد که با استفاده از اکسپلویت DDE مایکروسافتآفیس بدافزار Hancitor را توزیع میکند.
Hancitor یک دانلودر است که پیلودهای مخربی مانند تروجانهای بانکی، بدافزارهای مخرب داده و باجافزار را بر روی ماشینهای آلوده نصب میکند و معمولا به عنوان یک سند مایکروسافتآفیس macro-enabled در ایمیلهای فیشینگ، ارسال میشود.
از آنجایی که DDE یک ویژگی قانونی مایکروسافت است، اکثر آنتیویروسها هیچ هشداری نشان نداده یا اسناد مایکروسافتآفیس با فیلدهای DDE را مسدود نمیکنند، و کمپانی این تکنولوژی هم هیچ برنامهای برای ارائهی وصله برای رفع این عملکرد ندارد.
بنابراین شما میتوانید از خود و سازمانتان در برابر این حملات با غیرفعال کردن گزینهی "update automatic links at open" در برنامههای MS Office، محافظت کنید.
برای انجام اینکار word را بازکرده، File را انتخاب کنید، به قسمت Option و سپس advanced بروید و در قسمت General تیک " Update Automatic links at Open."را بردارید.
با اینحال بهترین راه برای محافظت از خود در برابر چنین حملاتی این است که نسبت به هر سند ناخواسته که از طریق ایمیل ارسال شده است مشکوک باشید و هرگز بر روی لینکهای داخل آن اسناد کلیک نکنید مگر اینکه منبع آن را دقیقا تایید کنید.
