محققان امنیتی درباره حمله نفوذگران به سرویسهای مالی از طریق نصب کیلاگری تحتعنوان سیلورلایت هشدار دادند.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، محققان امنیتی پروفپوینت اعلام کردند که مهاجمان پویش جدیدی را شروع کرده و ارائهدهندگان سرویسهای مالی را هدف قرار دادهاند. در این پویش کیلاگری تحت عنوان بهروزرسانی سیلورلایت نصب میشود.
این حمله ایمیلهای کمی را در یک سازمان هدف قرار داد و قصد داشت رایانههای این سازمان را با کیلاگر آلوده کند. در این نامهها یک ضمیمه مایکروسافت ورد نیز وجود داشت حاوی یک شیء تعبیهشده با مبهمسازی بسیار حرفهای بود تا از فرایند شناسایی و تشخیص بدافزار بگریزد.
قبلاً نیز مشاهده شدهبود که نویسندگان بدافزار از قابلیتهای اشیاء پیوندی و تعبیهشده (OLE) در محصولات آفیس استفاده میکردند و مایکروسافت نیز ۶ ماه قبل این موضوع را به کاربران هشدار دادهبود. هرچند که هنوز هم استفاده از ماکروهای مخرب در اسناد آفیس مشهورترین بردار برای توزیع بدافزارها محسوب میشود ولی استفاده از OLE در آفیس اخیرا رشد چشمگیری داشتهاست.
محققان پروفپوینت اعلام کرد این سند ورد با نام info.doc، کاربران را تشویق میکند تا برای مشاهده محتوای این پرونده، یک افزونه سیلورلایت را نصب کنند. نویسندگان بدافزار برای مخفی کردن پرونده اسکریپت ویژوال بیسیک از «شیء شِل بستهبندیکننده» استفاده کرده و این پرونده را با افزودن عبارت «We are safe» پس از هر نویسه، مبهمسازی کردهاند.
محققان کشف کردند که در ۳ خط اول این کد، شیوه خارج کردن پرونده از حالت مبهم توضیح داده شدهاست که بهجای عبارت We are safe از نویسه تهی استفاده شود. هدف از این کد، ارسال درخواست HTTP GET برای یک پرونده مخرب است ولی وقتی محققان تلاش کردند تا این پرونده را تحلیل و بررسی کنند، حذف شدهبود. محققان امنیتی میگویند وبسایت site pomf[.]cat که بهطور رایگان میزبانی پروندهها را امکانپذیر میسازد به افراد ناشناس اجازه میدهد تا پروندههای مخرب و اجرایی خود را بر روی این وبسایت بارگذاری کنند.
یک نمونه از این بدافزار از وبسایت VirusTotal بازیابی شد و تحلیلها نشان داد که این کیلاگر، جدید و شناسایی نشدهاست. این بدافزار برای تشخیص آدرس IP ماشین قربانی، یک ارتباط شبکهای با آدرس icanhazip[.]com برقرار میکند و از واسطهای برنامهنویسی GetAsyncKeyState در ویندوز استفاده میکند تا کلیدهای فشردهشده بر روی صفحهکلید توسط کاربر را تشخیص دهد.
محققان کشف کردند که این کیلاگر از کارگزار SMTP جیمیل برای ارسال رکوردهای ثبتشده به ۲ آدرس ایمیل هاردکدشده استفاده میکند. این کیلاگر به زبان AutoIt نوشته شده و از ابزار بازیابی گذرواژهی Lazagne استفاده میکند.
محققان پروفپوینت در نتیجهگیری خود گفتند: «مهاجمان سایبری پای خود را فراتر گذاشته و علاوهبر ماکروهای مخرب از روشهای دیگری برای توزیع پروندههای مخرب استفادهمیکنند. اینک لازم است سازمانها به فکر راه چارهای برای جلوگیری از رسیدن محتوای مخرب به دست کاربران انتهایی باشند. درحالیکه سازمانها در یک سیاست کلی، ماکروهای آفیس را مسدود کرده و به کاربران آموزش میدهند که این ماکروها را فعال نکنند، مهاجمان از روشهای دیگری همچون OLE در آفیس برای توزیع بدافزار استفاده میکنند. در نمونه اخیر شاهد بودیم که یک شیء در قالب پرونده اسکریپت ویژوال بیسیک در سند ورد تعبیه شده و قابلیتهای کیلاگر را دارا بود.»