محققان امنیتی از شرکت Fortinet بدافزاری را در قالب یک پرونده‌ی ورد کشف کرده‌اند که می‌تواند فرآیند آلودگی را بر روی سامانه عامل‌های شرکت مایکروسافت و اپل آغاز کند. این بدافزار می‌تواند پس از باز کردن سند ورد، نوع سامانه عامل را تشخیص داده و حمله را آغاز کند.

این بدافزار تلاش دارد کاربر را متقاعد سازد تا ماکروهای مخرب را فعال کرده و در ادامه یک کد VBA اجرا می‌شود. پس از اجرای این کد، تابع ()AutoOpen به‌طور خودکار فراخوانی می‌شود. این تابع ابتدا داده‌های موجود در فیلد «نظرات» در سند ورد را خوانده و باتوجه به نوع سامانه عامل، اسکریپت مشخصی را اجرا می‌کند.

بدافزار پس از اجرا شدن بر روی سامانه‌های مک، اسکریپت مخرب دیگری را که به زبان پایتون نوشته شده بارگیری کرده و اجرا می‌کند. این اسکریپت در ادامه با کارگزار دستور و کنترل ارتباط برقرار می‌کند. محققان امنیتی در توضیحات خود گفتند: «زمانی‌که اسکریپت پایتون اجرا می‌شود، یک پرونده را از آدرس hxxps://sushi.vvlxpress.com:۴۴۳/HA۱QE بارگیری و اجرا می‌کند.» اسکریپتی که این بدافزار مورد استفاده قرار می‌دهد نسخه‌ی تغییریافته از ماژول Meterpreter در متااسپلویت است که از سازوکارهای تزریق DLL در حافظه استفاده می‌کند.

اسکریپتی که در سامانه عامل ویندوز برای آغاز حمله مورد استفاده قرار می‌گیرد، بسیار پیچیده‌تر است. این اسکریپت سازوکار matryoshka در پاورشِل را پیاده‌سازی کرده و به گفته‌ی محققان امنیتی تنها بر روی سامانه عامل ویندوز ۶۴ بیتی کار می‌کند. هر لایه از اسکریپت با استفاده از base۶۴ کدگذاری شده و پس از اینکه آخرین لایه اجرا شد، یک اسکریپت DLL ۶۴ بیتی اجرا می‌شود که در ادامه اجرا شده و با کارگزار راه دور ارتباط برقرار می‌کند. محققان در حال حاضر این بدافزار را بررسی می‌کنند.

منبع: asis

درباره نماد امن

کانال اخبار فناوری اطلاعات نماد امن

“نماد امن” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

کشف بدافزاری که سامانه عامل‌های مایکروسافت و اپل را آلوده می‌کند

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *