info[at]nsec.ir
(+۹۸)-۳۱-۳۳۹۱۵۳۳۶

بهره‌برداری گسترده از ویژگی DDE مایکروسافت‌آفیس برای توزیع بدافزار

خلاصه: خیلی زود پس‌از اینکه جزئیات تکنیک حمله‌ی DDE منتشر شد، محققان گروه امنیتی سیسکوتالوس در مورد کمپین حمله‌ای که به‌طور فعال از این تکنیک حمله، با یک تروجان دسترسی از راه دور به ‌نام DNSMessenger علیه چندین سازمان، بهره‌برداری می‌کردند، گزارش دادند. اکنون هکر‌هایی پیدا شده‌اند که از Necurs Botnet برای توزیع باج‌افزار Locky و تروجان بانکی TrickBot با استفاده از اسناد Word، که تکنیک حمله‌ی DDE جدید را فراهم می‌کند، استفاده می‌کنند. یک کمپین اسپم بدافزار جداگانه‌ی دیگر نیز با استفاده از اکسپلویت DDE مایکروسافت‌آفیس بدافزار Hancitor را توزیع می‌کند.

یک متد حمله‌ی جدید وصله نشده که از یک ویژگی مایکروسافت‌آفیس بهره‌برداری می‌کند، اخیرا در حملات مختلف گسترده‌ی بدافزاری استفاده شده است. هفته‌ی گذشته گزارش کردیم که چگونه هکرها می‌توانند از یک ویژگی قدیمی مایکروسافت‌آفیس به‌نام DDE برای اجرای کد مخرب بر روی دستگاه هدف بدون نیاز به فعال‌کردن ماکرو استفاده کنند.

خیلی زود پس‌ از اینکه جزئیات تکنیک حمله‌ی DDE منتشر شد، محققان گروه امنیتی سیسکوتالوس در مورد کمپین حمله‌ای که به‌ طور فعال از این تکنیک حمله، با یک تروجان دسترسی از راه دور به ‌نام DNSMessenger به‌ صورت گسترده علیه چندین سازمان بهره‌برداری می‌کردند، گزارش دادند.

اکنون هکر‌هایی پیدا شده‌اند که از Necurs Botnet برای توزیع باج‌افزار Locky و تروجان بانکی TrickBot با استفاده از اسناد Word، که تکنیک حمله‌ی DDE جدید را فراهم می‌کند، استفاده می‌کنند. (Necurs Botnet بدافزاری است که اخیرا شش میلیون کامپیوتر آلوده‌شده را کنترل می‌کند و میلیون‌ها ایمیل ارسال می‌کند.)

هکرهای باج‌افزار Locky قبلا به اسناد مایکروسافت‌آفیس مبتنی بر ماکروها متکی بودند، اما اکنون آن‌ها بات‌نت Necurs را برای ارسال بدافزار از طریق اکسپلویت DDE و بدست ‌آوردن قابلیت گرفتن اسکرین‌شات از دسکتاپ هدف، به‌روزرسانی کرده‌اند.

یک کمپین اسپم بدافزار جداگانه‌ی دیگر نیز توسط محققان امنیتی کشف شد که با استفاده از اکسپلویت DDE مایکروسافت‌آفیس بدافزار Hancitor را توزیع می‌کند.

Hancitor یک دانلودر است که پیلود‌های مخربی مانند تروجان‌های بانکی، بدافزارهای مخرب داده و باج‌افزار را بر روی ماشین‌های آلوده نصب می‌کند و معمولا به‌ عنوان یک سند مایکروسافت‌آفیس macro-enabled در ایمیل‌های فیشینگ، ارسال می‌شود.

از آن‌جایی که DDE یک ویژگی قانونی مایکروسافت است، اکثر آنتی‌ویروس‌ها هیچ هشداری نشان نداده یا اسناد مایکروسافت‌آفیس با فیلد‌های DDE را مسدود نمی‌کنند، و کمپانی این تکنولوژی هم هیچ برنامه‌ای برای ارائه‌ی وصله برای رفع این عملکرد ندارد.

بنابراین شما می‌توانید از خود و سازمانتان در برابر این حملات با غیرفعال کردن گزینه‌ی "update automatic links at open" در برنامه‌های MS Office، محافظت کنید.

برای انجام این‌کار word را بازکرده، File را انتخاب کنید، به قسمت Option و سپس advanced بروید و در قسمت General تیک " Update Automatic links at Open."را بردارید.

با این‌حال بهترین راه برای محافظت از خود در برابر چنین حملاتی این است که نسبت به هر سند ناخواسته که از طریق ایمیل ارسال شده است مشکوک باشید و هرگز بر روی لینک‌های داخل آن اسناد کلیک نکنید مگر اینکه منبع آن را دقیقا تایید کنید.

 

 

تحت نظارت وف ایرانی