نگاهی به رایج‌ترین پیوست‌های ایمیل ناقل بدافزار
کد مطلب: 17145
تاریخ انتشار : پنجشنبه ۱ آبان ۱۳۹۹ ساعت ۰۹:۴۷
 
شناخت پیوست‌های مخربی که به‌طور گسترده توسط مهاجمان در ایمیل‌های فیشینگ ناقل بدافزار مورد استفاده قرار می‌گیرند نقشی مؤثر در ایمن ماندن از گزند این نوع تهدیدات دارد.
نگاهی به رایج‌ترین پیوست‌های ایمیل ناقل بدافزار
 
 
Share/Save/Bookmark
شناخت پیوست‌های مخربی که به‌طور گسترده توسط مهاجمان در ایمیل‌های فیشینگ ناقل بدافزار مورد استفاده قرار می‌گیرند نقشی مؤثر در ایمن ماندن از گزند این نوع تهدیدات دارد.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، راه‌اندازی کارزارهای هرزنامه‌ای (Spam Campaign) در ظاهر صورت‌حساب، دعوت‌نامه، اطلاعات پرداخت، اطلاعات مرسوله، نمابرهای الکترونیکی، پیام‌های صوتی و مواردی از این قبیل از روش‌های رایج توزیع بدافزار توسط گردانندگان تهدید است. در اکثر مواقع ایمیل‌های ارسالی دارای پیوست‌هایی از نوع سند Word یا Excel یا لینک‌هایی هستند که کلیک بر روی آنها منجر به دریافت این نوع فایل‌ها می‌شود. با باز شدن فایل و فعال شدن ماکرو (Macros)، بدافزار بر روی دستگاه دریافت و نصب می‌شود.

به‌صورت پیش‌فرض در زمان باز شدن فایل‌های حاوی ماکرو در پیامی مشابه با تصویر زیر در خصوص فعال‌سازی این قابلیت از کاربر کسب اجازه می‌شود. در صورت کلیک بر روی دکمه Enable Editing یا Enable Content ماکرو فعال می‌شود.
برای فریب و تشویق کاربر به کلیک بر روی دکمه‌های مذکور، توزیع‌کنندگان بدافزار با درج متن و تصویر در فایل‌های Word و Excel این‌طور القا می‌کنند که اشکالی در نمایش محتوای سند وجود دارد و برطرف کردن آن مستلزم کلیک بر روی Enable Editing یا Enable Content است. در ادامه این مطلب به نمونه پیوست‌هایی که در کارزارهای هرزنامه‌ای برای توزیع برخی بدافزارهای پرانتشار این روزها مورد استفاده قرار می‌گیرند پرداخته شده است.

باید در نظر داشت که این نمونه‌ها می‌توانند در انتشار بدافزارهایی به غیر از آنچه که در اینجا به آنها اشاره شده نیز نقش داشته باشند. ضمن این که اینها فقط چند نمونه اندک از موارد متعدد این نوع فایل‌های ناقل بدافزار هستند.

BazarLoader
BazarLoader بدافزاری است که به‌طور خاص بر روی آلوده‌سازی سازمان‌های بزرگ تمرکز دارد و توسط افراد پشت‌پرده تروجان TrickBot توسعه داده شده است. به‌محض نصب شدن، مهاجمان از BazarLoader/BazarBackdoor برای اتصال به دستگاه قربانی به‌صورت از راه دور بهره گرفته و در ادامه دامنه نفوذ خود را به کل شبکه گسترش می‌دهند.

در بسیار مواقع آلوده شدن به BazarLoader درنهایت منجر به توزیع باج‌افزار ‌ Ryuk و رمزگذاری فایل‌ها بر روی سیستم‌های متصل به شبکه می‌شود.

ایمیل‌های فیشینگی که BazarLoader را توزیع می‌کنند معمولا حاوی لینک‌هایی به فایل‌های Word یا Excel به اشتراک گذاشته شده بر روی Google Docs و Google Sheets هستند. در این اسناد Google Doc در پیامی جعلی که نمونه‌ای از آن در شکل زیر قابل مشاهده است از کاربر خواسته می‌شود تا برای رفع اشکال، سندی را دریافت کند که در عمل فایلی با قابلیت اجرایی و توانایی نصب BazarLoader است.
Dridex
Dridex یک تروجان بانکی مبتنی بر ماژول است که نخستین نسخه از آن در سال ۲۰۱۴ ظهور کرد و از آن زمان تاکنون به‌طور مستمر در حال تکامل بوده است.

با آلوده شدن، Dridex اقدام به دریافت ماژول‌های مختلفی می‌کند که امکان سرقت رمزهای عبور، اتصال به دستگاه یا اجرای فعالیت‌های مخرب دیگر را برای مهاجمان فراهم می‌کند. دسترسی این بدافزار به شبکه معمولا منجر به توزیع باج‌افزار BitPaymer یا فعال شدن عملکرد باج‌افزاری Dridex می‌شود.

برخلاف سایر کارزارهای توزیع بدافزار، گردانندگان Dridex از فایل‌های با طراحی مفصل که حاوی محتوای کم یا مبهم‌سازی‌شده (Obfuscated) هستند به‌منظور متقاعد کردن کاربر به کلیک بر روی Enable Content استفاده می‌کنند. برای مثال، در فایل زیر عنوان می‌شود که سند توسط نسخه قدیمی Microsoft Office Word ساخته شده و خواندن محتوا در آن بدون کلیک بر روی دکمه‌های مذکور دشوار است.
در برخی کارزارهای Dridex در فایل‌هایی مشابه با شکل زیر این‌طور ظاهر می‌شود که سند حاوی اطلاعات مرسوله‌ای از سوی DHL و UPS است.
در مواردی نیز Dridex با نمایش صورت‌حساب‌های پرداخت با محتوای نامفهوم کاربر را تشویق به کلیک بر روی دکمه Enable Editing می‌کنند تا به‌دروغ اطلاعات به‌طور صحیح نمایش داده شود.
همان‌طور که در مثال‌های بالا اشاره شد در فایل‌های ناقل Dridex به کرات از تصاویر و عنوان و نشان شرکت‌ها برای فریب کاربر و فعال‌سازی ماکروها استفاده می‌شود.

Emotet
Emotet ازجمله بدافزارهایی است که به‌طور گسترده از طریق ایمیل‌های هرزنامه‌ای با پیوست Word یا Excel منتشر می‌شود. به‌محض آلوده شدن، Emotet اقدام به سرقت ایمیل قربانی و استفاده از سیستم او برای توزیع هرزنامه به افراد دیگر در هر گوشه از جهان می‌کند.

دستگاه‌های آلوده به Emotet اغلب به تروجان‌هایی نظیر TrickBot و QakBot آلوده می‌شوند. مهاجمان از این تروجان‌ها برای سرقت رمزهای عبور، کوکی‌ها، فایل‌ها و هک کل شبکه استفاده می‌کنند.

آلوده شدن به TrickBot شبکه را گرفتار باج‌افزارهای Ryuk یا Conti می‌کند. سازمان‌هایی هم که به QakBot آلوده شده‌اند ممکن است درنهایت با باج‌افزار ProLock دست به گریبان شوند.
بر خلاف Dridex، در اسناد ناقل بدافزار Emotet از تصاویر استفاده نمی‌شود. در عوض از دامنه گسترده‌ای از پیام‌های هشداری مبنی بر لزوم کلیک بر روی دکمه Enable Content جهت نمایش صحیح محتوا در سند بهره گرفته می‌شود. برای مثال، در نمونه زیر که به «طلوع سرخ» (Red Dawn) معروف شده در پیامی با عنوان «این سند حفاظت شده است» کاربر تشویق به کلیک بر روی دکمه Enable Editing یا Enable Content می‌شود.
در نمونه‌ای دیگر این‌طور وانمود می‌شود که به‌دلیل ایجاد سند بر روی یک دستگاه مبتنی بر iOS نمی‌توان آن را به‌درستی باز کرد.
یا در نمونه زیر گفته می‌شود که سند در Windows ۱۰ Mobile که مدتی است پشتیبانی آن خاتمه یافته، ایجاد شده است.
در نمونه‌ای دیگر صرفا قرار داشتن فایل در وضعیت Protected View برای کلیک بر روی Enable Editing بهانه می‌شود.
در تصویر زیر برای موافقت با توافق‌نامه‌ای جعلی درخصوص لیسانس Microsoft کلیک بر روی دکمه Enable Editing یا Enable Content توصیه می‌شود.
در نمونه زیر پیامی در ظاهر مرتبط با Microsoft Office Activation Wizard ظاهر شده و در آن از کاربر خواسته می‌شود تا با کلیک بر روی دکمه‌های مذکور نسبت به فعال‌سازی Office اقدام کند.
یا در نمونه‌ای مشابه، پیام جعلی در قالب یک Microsoft Office Transformation Wizard ظاهر می‌شود.
این تصاویر نشان می‌دهد که بجای استفاده از اسنادی با طراحی مفصل نظیر نمونه‌های Emotet با نمایش هشدارهای عمومی نسبت به متقاعد کردن کاربران به فعال‌سازی ماکروها تلاش می‌شود.

QakBot
QakBot یک تروجان بانکی است که از طریق کارزارهای فیشینگ حاوی اسناد Word مخرب سازمان‌ها را هدف قرار می‌دهد.

QakBot تروجانی مبتنی بر ماژول است که قادر به سرقت اطلاعات بانکی، نصب بدافزارهای دیگر و فراهم کردن امکان دسترسی از راه دور به دستگاه آلوده است. همچون سایر تروجان‌های اشاره شده در این مطلب، QakBot با باج‌افزارها شراکت دارد و آلوده‌سازی به آن معمولا منجر به اجرای باج‌افزار ProLock می‌شود.

در مقایسه با Emotet، کارزارهای QakBot از فایل‌های با طراحی به مراتب مفصل‌تر بهره می‌گیرند. از موارد پراستفاده در کارزارهای هرزنامه‌ای QakBot می‌توان به نمونه زیر اشاره کرد که در ظاهر از سوی شرکت DocuSign ارسال شده است.
در نمونه‌ای دیگر این‌طور وانمود می‌شود که پیام مرتبط با Windows Defender، به‌روزرسانی Word یا فعال‌سازی این نرم‌افزار است و باید بر روی دکمه Enable Editing یا Enable Content کلیک شود.
پیوست‌های اجرایی
به‌عنوان یک قاعده کلی نباید پیوست‌های با هریک از پسوندهای زیر را باز کرد:
• vbs
• js
• exe
• ps1
• jar
• bat
• com
• scr

همان‌طور که اکثر سرویس‌دهندگان معروف ایمیل، پیوست‌های اجرایی را مسدود می‌سازند توزیع‌کنندگان بدافزار نیز این نوع فایل‌ها را در قالب آرشیوهای حفاظت شده توسط رمز عبور به ایمیل پیوست می‌کنند. تکنیکی که پیوست‌های اجرایی را قادر به عبور از سد درگاه‌های امنیتی و راه یافتن به صندوق پست الکترونیک کاربر می‌کند.
پیوست بودن فایل اجرایی به ایمیل دریافتی به احتمال زیاد می‌تواند نشانه‌ای از مخرب بودن آن باشد. در تنظیمات Windows به‌صورت پیش‌فرض پسوند فایل‌های متداول نمایش داده نمی‌شود. موضوعی که در بسیاری مواقع مورد سوءاستفاده مهاجمان قرار می‌گیرد. درنتیجه غیرفعال کردن گزینه Hide extensions for known file types در تنظیمات Folder Options توصیه می‌شود.
مرجع : مرکز مدیریت راهبردی افتا