انتشار بدافزار LimeRAT با یک تکنیک رمزگذاری در Excel

مهاجمان در کارزاری جدید با استفاده از یک تکنیک قدیمی رمزگذاری در فایل‌های Excel در حال انتشار تروجان LimeRAT هستند.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، بدافزار LimeRAT یک تروجان دسترسی از راه دور (Remote Access Trojan) ساده قابل اجرا بر روی ماشین‌های با سیستم عامل Windows است. بدافزار قادر است تا با نصب درب‌های پشتی (Backdoor) بر روی ماشین‌های آلوده و رمزگذاری فایل‌های مورد نظر خود دستگاه را تحت سیطر شبکه مخرب (Botnet) قرار داده و ابزارهای استخراج‌کننده ارز رمز (Cryptocurrency Miner) را بر روی آن نصب کند.

LimeRAT مبتنی بر ماژول بوده و یکی از ماژول‌های آن امکان انتشار این تروجان را از طریق حافظه‌های USB متصل به دستگاه فراهم می‌کند. LimeRAT در صورت تشخیص اجرا شدن بر روی یک ماشین مجازی اقدام به حذف خود می‌کند. (تحلیلگران بدافزار معمولاً از بسترهای مجازی برای کالبدشکافی کدهای مشکوک و مخرب استفاده می‌کنند و برخی بدافزارها به‌منظور ناکام گذاشتن بررسی آنها از تکنیک‌های موسوم به ضدماشین‌مجازی بهره می‌گیرند.) قفل کردن صفحه نمایش و سرقت مجموعه‌ای از داده‌ها و ارسال آنها به سرور فرماندهی (C۲) با استفاده از رمزگذاری AES از دیگر توانایی‌های LimeRAT است.

در کارزار جدیدی که Mimecast جزییات آن را منتشر کرده کد مخرب LimeRAT در فایل‌های Excel با ویژگی فقط خواندنی (Read-only) جاسازی شده و در قالب ایمیل‌های فیشینگ به کاربران ارسال می‌شود. در حقیقت این فایل‌ها بجای قفل شدن، فقط خواندنی بوده و در عین رمزدار بودن از ورود رمز عبور بی‌نیاز هستند.

برای رمزگشایی فایل، به محض باز شدن، Excel تلاش می‌کند تا از رمزعبور تزریق شده و پیش‌فرض VelvetSweatshop که سال‌ها قبل توسط برنامه‌نویسان Microsoft در نسخ این نرم‌افزار لحاظ شده بود استفاده کند. در صورت موفقیت، فایل رمزگشایی شده و ماکروی درون آن، در عین حال که فایل همچنان فقط خواندنی است اقدام به اجرای کد مخرب می‌کند.

معمولاً در صورتی که رمزگشایی با شکست مواجه شود از کاربر درخواست رمز عبور می‌شود. اما فقط خواندنی بودن فایل موجب صرف‌نظر کردن نرمافزار از درخواست رمز عبور و در نتیجه کاهش‌ مراحل آلوده‌سازی سیستم می‌شود. ضمن اینکه بغیر از اعلام فقط خواندنی بودن فایل هیچ پنجره هشداری که سبب مشکوک شدن کاربر به ماهیت مخرب فایل گردد نمایش داده نمی‌شود.

تکینکی که در کارزار اخیر مورد استفاده قرار گرفته ناشی از وجود رمز عبور VelvetSweatshop در نرم‌افزار Excel است که نخستین بار در سال ۲۰۱۳ در جریان یکی از کنفرانس‌های Virus Bulletin علنی شد. به آسیب‌پذیری مربوط به این رمز عبور ایستا، پیش‌فرض و تزریق‌شده شناسه CVE-۲۰۱۲-۰۱۵۸ تخصیص یافته‌است.

در حالی که این آسیب‌پذیری مدتها قبل ترمیم شده اما شرکت امنیتی Sophos پیش‌تر در گزارش زیر اعلام کرده بود که CVE-۲۰۱۲-۰۱۵۸ برای سال‌ها به‌صورت قابل‌توجهی مورد بهره‌جویی قرار می‌گرفته‌است.

به گفته Mimecast، مهاجمان با این روش رمزگذاری و مخفی کردن بهره‌جو و کد مخرب سعی در عبور از سد محصولات ضدبدافزاری دارند.

همچنین مایکروسافت از مورد بهره‌جویی قرار گرفتن مجدد آسیب‌پذیری CVE-۲۰۱۲-۰۱۵۸ مطلع شده‌است.