بدافزار SmokeLoader از آفیس برای دزدیدن داده‌ ها استفاده میکند

بدافزار SmokeLoader با بهره‌برداری از آسیب‌پذیری‌های MS Office برای سرقت اطلاعات مرورگرها وارد عمل شد. پژوهشگران امنیت سایبری در آزمایشگاه FortiGuard آزمایشگاه Fortinet، یک سری حملات جدید بدافزاری را کشف کرده‌اند که هدف آن‌ها شرکت‌ها و صنایع تایوانی است.

به گزارش سرویس هک و امنیت رسانه اخبار فناوری تکنا، این حملات که به بدافزار SmokeLoader نسبت داده شده‌اند، صنایع مختلفی از جمله تولید، بهداشت و درمان، فناوری اطلاعات و غیره را هدف قرار داده‌اند. بدافزار SmokeLoader که به‌خاطر توانایی خود در انتقال بارهای مخرب دیگر شناخته می‌شود، در این کمپین نقش مستقیم‌تری ایفا کرده و از پلاگین‌های خود برای اجرای حملات و سرقت اطلاعات حساس استفاده می‌کند.

براساس تحقیقات انجام‌شده توسط FortiGuard Labs، حملات با ایمیل‌های فیشینگ آغاز شد که ضمائم مخربی را شامل می‌شدند. این ضمائم به‌منظور بهره‌برداری از آسیب‌پذیری‌های موجود در مایکروسافت آفیس طراحی شده بودند. این آسیب‌پذیری‌ها شامل CVE-2017-0199 بودند که اجازه می‌دهد اسناد مخرب به‌طور خودکار بارگیری و اجرا شوند و CVE-2017-11882 که آسیب‌پذیری موجود در ویرایشگر معادلات مایکروسافت آفیس را برای اجرای کد از راه دور بهره‌برداری می‌کند.

ایمیل‌ها که به زبان تایوانی نوشته شده بودند، قانع‌کننده به نظر می‌رسیدند، اما دارای ناهماهنگی‌هایی مانند تغییر در فونت‌ها و رنگ‌ها بودند که نشان می‌داد متن از جایی کپی شده است.

پس از باز شدن ضمیمه مخرب، بدافزار SmokeLoader دانلود و اجرا می‌شود و ارتباط خود را با سرور فرماندهی و کنترل (C2) برقرار می‌کند. سپس، بدافزار پلاگین‌های مختلفی را دانلود می‌کند که هرکدام برای هدف قرار دادن برنامه‌های خاص و استخراج اطلاعات حساس طراحی شده‌اند.

پلاگین‌های استفاده‌شده توسط SmokeLoader برای هدف قرار دادن مرورگرهای وب محبوب، مشتریان ایمیل و نرم‌افزارهای پروتکل انتقال فایل (FTP) از جمله Internet Explorer، Firefox، Chrome، Opera، Outlook، Thunderbird و FileZilla طراحی شده بودند. این بدافزار قادر بود تا اعتبارنامه‌های ورود، داده‌های پرشده به‌صورت خودکار و حتی آدرس‌های ایمیل را از این برنامه‌ها استخراج کند.

یکی از پلاگین‌ها که به نام Plugin 4 شناخته می‌شود، برای پاک‌کردن کوکی‌ها از مرورگرهای هدف طراحی شده بود، به‌طوری که قربانیان مجبور به وارد کردن مجدد اعتبارنامه‌های خود می‌شدند. پلاگین دیگر، به نام Plugin 8، برای تزریق کد ثبت‌فشار کلیدها (keylogging) به داخل explorer.exe استفاده می‌شد که به بدافزار اجازه می‌دهد ورودی‌های صفحه‌کلید و محتوای حافظه موقت را ضبط کند.

همچنین مشخص شد که بدافزار SmokeLoader از تکنیک‌های پیشرفته‌ای برای فرار از تشخیص استفاده می‌کند، از جمله فریب‌کاری کد، ضد اشکال‌زدایی و فرار از محیط‌های شبیه‌سازی (sandbox). طراحی مدولار این بدافزار اجازه می‌دهد تا به سناریوهای مختلف حمله سازگار شود و آن را به تهدیدی قدرتمند برای سازمان‌ها تبدیل کند.

آزمایشگاه‌های FortiGuard این بدافزار را شناسایی و مسدود کرده و درجه شدت آن را “بالا” اعلام کرده‌اند. این شرکت همچنین حفاظت‌هایی برای مشتریان خود فراهم کرده است، از جمله امضاهای آنتی‌ویروس و قوانین IPS برای شناسایی و پیشگیری از بدافزار.

کاسی الیس، بنیان‌گذار و مشاور Bugcrowd، یک شرکت پیشرو در امنیت سایبری مبتنی بر جمع‌سپاری، به Hackread.com گفته است که استفاده از SmokeLoader با الگوی جهانی گسترده‌تری از مهاجمین سایبری که در حال آماده‌سازی برای حملات آینده از طریق نفوذ به سیستم‌ها هستند، هم‌راستا است.

او در ادامه توضیح داد: “با توجه به وضعیت ژئوپولیتیکی، تایوان برای تفکر درباره تهدیدات پیشرفته پایدار (APTها) غریبه نیست و استفاده از SmokeLoader به نظر می‌رسد با روند عمومی پیش‌موقعیت‌یابی که در سایر نقاط جهان مشاهده کرده‌ایم، هماهنگ است.”

چگونه از خود در برابر این تهدید محافظت کنیم؟ برای جلوگیری از گرفتار شدن به بدافزار SmokeLoader، بسیار مهم است که هنگام دریافت ایمیل از منابع ناشناس یا مشکوک محتاط باشید. از کلیک بر روی لینک‌ها یا دانلود پیوست‌ها خودداری کنید، به‌ویژه اگر از شما خواسته شود که ماکروها را فعال کرده یا فایل‌هایی را اجرا کنید.

اگر نسبت به ایمیلی حتی از یک منبع آشنا شک دارید، محتوای آن را به‌دقت بررسی کنید. لینک‌ها، فایل‌ها و پیوست‌ها را با استفاده از ابزارهایی مانند VirusTotal یا نرم‌افزار امنیتی سیستم خود اسکن کنید تا از ایمن بودن آن‌ها اطمینان حاصل کنید.