مهاجمان در کارزاری جدید با استفاده از یک تکنیک قدیمی رمزگذاری در فایلهای Excel در حال انتشار تروجان LimeRAT هستند.
منبع : مرکز مدیریت راهبردی افتا
مهاجمان در کارزاری جدید با استفاده از یک تکنیک قدیمی رمزگذاری در فایلهای Excel در حال انتشار تروجان LimeRAT هستند.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، بدافزار LimeRAT یک تروجان دسترسی از راه دور (Remote Access Trojan) ساده قابل اجرا بر روی ماشینهای با سیستم عامل Windows است. بدافزار قادر است تا با نصب دربهای پشتی (Backdoor) بر روی ماشینهای آلوده و رمزگذاری فایلهای مورد نظر خود دستگاه را تحت سیطر شبکه مخرب (Botnet) قرار داده و ابزارهای استخراجکننده ارز رمز (Cryptocurrency Miner) را بر روی آن نصب کند.
LimeRAT مبتنی بر ماژول بوده و یکی از ماژولهای آن امکان انتشار این تروجان را از طریق حافظههای USB متصل به دستگاه فراهم میکند. LimeRAT در صورت تشخیص اجرا شدن بر روی یک ماشین مجازی اقدام به حذف خود میکند. (تحلیلگران بدافزار معمولاً از بسترهای مجازی برای کالبدشکافی کدهای مشکوک و مخرب استفاده میکنند و برخی بدافزارها بهمنظور ناکام گذاشتن بررسی آنها از تکنیکهای موسوم به ضدماشینمجازی بهره میگیرند.) قفل کردن صفحه نمایش و سرقت مجموعهای از دادهها و ارسال آنها به سرور فرماندهی (C۲) با استفاده از رمزگذاری AES از دیگر تواناییهای LimeRAT است.
در کارزار جدیدی که Mimecast جزییات آن را منتشر کرده کد مخرب LimeRAT در فایلهای Excel با ویژگی فقط خواندنی (Read-only) جاسازی شده و در قالب ایمیلهای فیشینگ به کاربران ارسال میشود. در حقیقت این فایلها بجای قفل شدن، فقط خواندنی بوده و در عین رمزدار بودن از ورود رمز عبور بینیاز هستند.
برای رمزگشایی فایل، به محض باز شدن، Excel تلاش میکند تا از رمزعبور تزریق شده و پیشفرض VelvetSweatshop که سالها قبل توسط برنامهنویسان Microsoft در نسخ این نرمافزار لحاظ شده بود استفاده کند. در صورت موفقیت، فایل رمزگشایی شده و ماکروی درون آن، در عین حال که فایل همچنان فقط خواندنی است اقدام به اجرای کد مخرب میکند.
معمولاً در صورتی که رمزگشایی با شکست مواجه شود از کاربر درخواست رمز عبور میشود. اما فقط خواندنی بودن فایل موجب صرفنظر کردن نرمافزار از درخواست رمز عبور و در نتیجه کاهش مراحل آلودهسازی سیستم میشود. ضمن اینکه بغیر از اعلام فقط خواندنی بودن فایل هیچ پنجره هشداری که سبب مشکوک شدن کاربر به ماهیت مخرب فایل گردد نمایش داده نمیشود.
تکینکی که در کارزار اخیر مورد استفاده قرار گرفته ناشی از وجود رمز عبور VelvetSweatshop در نرمافزار Excel است که نخستین بار در سال ۲۰۱۳ در جریان یکی از کنفرانسهای Virus Bulletin علنی شد. به آسیبپذیری مربوط به این رمز عبور ایستا، پیشفرض و تزریقشده شناسه CVE-۲۰۱۲-۰۱۵۸ تخصیص یافتهاست.
در حالی که این آسیبپذیری مدتها قبل ترمیم شده اما شرکت امنیتی Sophos پیشتر در گزارش زیر اعلام کرده بود که CVE-۲۰۱۲-۰۱۵۸ برای سالها بهصورت قابلتوجهی مورد بهرهجویی قرار میگرفتهاست.
به گفته Mimecast، مهاجمان با این روش رمزگذاری و مخفی کردن بهرهجو و کد مخرب سعی در عبور از سد محصولات ضدبدافزاری دارند.
همچنین مایکروسافت از مورد بهرهجویی قرار گرفتن مجدد آسیبپذیری CVE-۲۰۱۲-۰۱۵۸ مطلع شدهاست.