رفتن به محتوای اصلی
ثبت گزارش
ثبت گزارش
1399-06-29 09:49
تنظیم اندازه قلم

پ

1:33
کد خبر: 150243

عبور از موانع امنیتی با ایجاد اسناد اکسل مخرب

امنیت

نویسندگان برنامههای بدافزاری از تکنیک جدیدی استفاده می کنند که به آنها این امکان را می دهد که بدون استفاده از Microsoft Office کتابهای کاری مخرب Excel، ایجاد کنند.

محققان امنیتی شرکت NVISO، اسناد مخرب اکسلی شناسایی کرده اند که از طریق صفحه گسترده فعال شده VBA، بدافزار را ارسال می کند. به نظر می رسد این کمپین درحال حاضر به دلیل تعداد محدودی از نمونه های موجود، توسط یک مهاجم مدیریت می شود.

 اسناد مخرب اکسل 

طبق تجزیه و تحلیل شرکت NVISO، مشخص شد که اسناد مخرب با استفاده از نرم افزار EPPlus در قالب (Office Open XML (OOXML ایجاد شده اند. OOXML فرمتی از (Open Packaging Conventions (OPC است که شامل پرونده های XML و برخی از پرونده های دوجانبه است.

وقتی یک پروژه VBA با EPPlus ایجاد می شود، کد VBA وارد شده در آن، وجود نخواهد داشت. EPPlus هیچ روشی برای ایجاد کد ندارد: الگوریتم های ایجاد کد VBA کامپایل شده اختصاصی مایکروسافت است.

اولین نمونه با استفاده از این روش در 22 ژوئن سال 2020 مشاهده شد و از آن زمان 200 سند مخرب در طی 2 ماه کشف گردیده است.

 تمام اسناد مخرب از پروژه VBA با رمز عبور محافظت می شوند و برای باز کردن پروژه VBA، فقط به رمز ورود احتیاج می باشد. برای اجرای بدافزار، اگر با رمزعبور سند کاربر باز شود، دیگر پسورد لازم نیست.
 
درمرحله اول کاربری اسناد مخرب را باز می کند، در مرحله دوم بارگیری ازسایتهای مختلفی که توسط نویسندگان بدافزار کنترل میشوند، صورت می پذیرد. محموله مرحله دوم به عنوان یک قطره چکان برای بارگزاری نهایی عمل می کند. برنامه های ضد ویروسی، بدافزار را به عنوان "AgentTesla" شناسایی می کنند. مهاجمان از حساب های ایمیل شرکت برای ارسال هرزنامه های حاوی این اسناد، استفاده می کنند ولی نمی دانند چگونه از این حساب ها استفاده کنند.

از جمله کشورهایی که در درجه اول هدف این حملات قرار گرفته اند شامل ایالات متحده، جمهوری چک، فرانسه، آلمان و همچنین چین می باشد. NVISO معتقد است که تکنیک مخرب خاص ایجاد اسناد Excel، احتمالاً بیشتر توسط افراد فاقد وجدان انسانی انجام می شود.
 

کلمات کلیدی :

افزودن دیدگاه جدید

700X100.gif

اخبار مرتبط