نفوذگران سایبری از ابزار هک جدیدی به نام EtterSilent برای انجام حملات روی ایمیل استفاده میکنند که میتواند دو نوع داکیومنت جعلی Microsoft Office با قابلیت بهرهبرداری از آسیبپذیری با شناسه CVE-۲۰۱۷-۸۵۷۰ یا ساخت ماکروهای مخرب ایجاد کند.
منبع : مرکز آپا کردستان
نفوذگران سایبری از ابزار هک جدیدی به نام EtterSilent برای انجام حملات روی ایمیل استفاده میکنند که میتواند دو نوع داکیومنت جعلی Microsoft Office با قابلیت بهرهبرداری از آسیبپذیری با شناسه CVE-۲۰۱۷-۸۵۷۰ یا ساخت ماکروهای مخرب ایجاد کند.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، از اواسط سال گذشته یک ابزار هک جدید برای انجام حملات بر روی ایمیل توسط نفوذگران در انجمنهای هکری رواج یافته است.
با توجه به تبلیغات و توضیحات درج شده در انجمنهای هک، استفاده از این ابزار برای دور زدن Windows Defender، Windows AMSI (Antimalware Scan Interface) و همچنین فیلترهای امنیتی سرویسهای ایمیل معروف ازجمله Gmail موثر است.
محققان امنیت سایبری شرکت امنیتی Intel ۴۷۱ نشان دادهاند که EtterSilent میتواند دو نوع داکیومنت جعلی Microsoft Office با قابلیت بهرهبرداری از آسیبپذیری با شناسه CVE-۲۰۱۷-۸۵۷۰ یا ساخت ماکروهای مخرب ایجاد کند.
ازجمله سوءاستفادههای موجود در بخش خرابکاریهای ابزار میتوان به بهرهبرداری از آسیبپذیریهایی با شناسه CVE-۲۰۱۷-۸۵۷۰، CVE-۲۰۱۷-۱۱۸۸۲ و CVE-۲۰۱۸-۰۸۰۲ اشاره کرد که البته استفاده از آنها در ویندوز با آخرین نسخه Microsoft Office بیهوده است.
داکیومنت مخرب هنگامی که باز میشود، الگویی را نشان میدهد که به عنوان DocuSign شناخته می شود. DocuSign نرم افزار محبوبی است که به افراد و سازمانها اجازه میدهد اسناد را بهصورت الکترونیکی امضا کنند. سپس maldoc از ماکروهای Excel ۴.۰ ذخیره شده در یک sheet پنهان استفاده میکند ، که به شما امکان میدهد یک پیلود میزبان خارجی را دانلود، روی دیسک قرارداده و با استفاده از regsvr۳۲ یا rundll۳۲ اجرا کنید. از آنجا، مهاجمان میتوانند سایر بدافزارهای مختلف را پیگیری و یا drop کنند.
به طور کلی، مهاجمان در حوزه حملات به ایمیل، بیشتر از گزینه ماکرو مخرب استفاده میکنند، چون با هر نسخه Microsoft Office پشتیبانی شده توسط EtterSilent از ۲۰۰۷ تا ۲۰۱۹ سازگار است. همچنین به گفته محققان intel ۴۷۱ استفاده از ماکرو، نسبت به بهرهبرداری مستقیم، سازگاری بالاتری دارد.
در اینجا، قربانی فقط باید متقاعد شود تا عملکرد ماکروها را فعال کند. چنین داکیومنتهایی هنوز توسط مهاجمان از سمت DocuSign یا DigiCert توزیع میشود.
با این حال، نکته قابل توجه در این مورد این است که به جای استفاده از VBA، از ماکرو Microsoft Excel ۴.۰ XML استفاده میشود، در حالی که در اکثر موارد مشابه دیگر، بیشتر اوقات گزینه ثانویه توسط مهاجمان استفاده میشود.
در حال حاضر، نشانههای استفاده از EtterSilent در ایمیلهایی با هدف توزیع Trickbot، BazarLoader و همچنین تروجانهای بانکی مانند IcedID / BokBot، QakBot / QBot و Ursnif، Rovnix، Gozi و Papras دیده میشود.
ابزارهای ساخت داکیومنتهای مخرب Microsoft office که کار را برای مجرمان اینترنتی آسان میکنند، پیش از این ایجاد شدهاند. کارایی و استفاده از این ابزارها تا زمانیکه یک پایگاه داده با امضای جعلی به کمک آن ها ایجاد شود کاربرد خواهد داشت.
به گفته کارشناسان امنیت سایبری، یک هفته پیش، نتایج استفاده از EtterSilent تنها با چند اسکنر آنتیویروس از مجموعه VirusTotal نشان داده شده است و اکنون یکسوم یا حتی نیمی از آنها شناسایی میشود.