هشدار مایکروسافت در مورد کمپین اسپم که از اکسپلویت آفیس استفاده می کند

هشدار مایکروسافت در مورد کمپین اسپم که از اکسپلویت آفیس استفاده می کند

مایکروسافت شب جمعه در مورد یک کمپین فعال اسپم هشدار داده است که زبان های اروپایی را هدف قرار می دهد و از یک اکسپلویت بهره گیری می کند که می تواند به سادگی با باز کردن ضمیمه ایمیل، کاربران را آلوده کند.

 

در یک سری توییت ها که از اکانت Microsoft Security Intelligence انجام شد، مایکروسافت هشدار داده است که یک کمپین فعال را شناسایی کرده است که شامل فایل های ضمیمه RTF می باشند و از آسیب پذیری CVE-2017-11882 در Microsoft Office و WordPad بهره می گیرند.

مثال فایل ضمیمه با اکسپلویت CVE-2017-11882

هنگامیکه به طور موفقیت آمیز اکسپلویت شوند، با باز کردن ضمیمه ایمیل این آسیب پذیری می تواند به صورت خودکار کاربران را آلوده کند.

آسیب پذیری CVE-2017-11882 اجازه می دهد که فایل های RTF و Word ایجاد شوند و به محض باز شدن، فایل ها به صورت خودکار کامندهایی را اجرا کنند. این آسیب پذیری در سال 2017 پچ شد اما مایکروسافت اعلام کرد که همچنان دیده می شود که این اکسپلویت در حملات مورد استفاده قرار می گیرد و در چند هفته قبل افزایش جزئی نیز داشته است.

"Notably, we saw increased activity in the past few weeks. We strongly recommend applying security updates."

به گفته مایکروسافت، زمانیکه فایل ضمیمه شده باز می شود، "اسکریپت های متعددی از انواع مختلف (VBScript, PowerShell, PHP و ...) برای دانلود بارگذاری،اجرا خواهد شد.

هنگامیکه یک نمونه فایل را آزمایش کردیم، به محض باز کردن فایل، بلافاصله شروع به اجرای یک اسکریپت دانلود شده از Pastebin کرد که یک کامند PowerShell را اجرا می کرد. این کامند PowerShell سپس یک فایل رمزگذاری base64 را دانلود کرده و آن را در %temp%\bakdraw.exe ذخیره می کند.

دانلود اسکریپت و بدافزار

سپس یک کپی از فایل bakdraw.exe در محل %UserProfile%\AppData\Roaming\SystemIDE ذخیره خواهد شد و یک تسک زمانبندی شده به نام SystemIDE پیکربندی خواهد شد تا فایل را اجرا کند.

Scheduled Task

مایکروسافت بیان می کند که این فایل اجرایی یک Backdoor می باشد که در حال حاضر برای اتصال به یک دامنه مخرب پیکربندی شده است که دیگر در دسترس نمی باشد. این بدان معنی است که حتی اگر کامپیوتر آلوده شود، Backdoor قادر به برقراری ارتباط بین کامند و کنترل سرور برای دریافت کامندها نیست.

مایکروسافت پیشنهاد می کند که تمام کاربران ویندوز، آپدیت امنیتی مربوط به این آسیب پذیری را در اسرع وقت نصب کنند.

آسیب پذیری CVE-2017-11882 نیز اخیراً توسط FireEye کشف شد که در یک کمپین که مرکز آسیا را مورد هدف قرار داد استفاده شده است و یک Backdoor جدید به نام HawkBall نصب می کند. مشخص نیست که این کمپین ها با هم در ارتباط هستند یا خیر.

منبع: Bleepingcomputer.com