تروجان FlawedAmmyy با استفاده از فایلهای اکسل مخرب در حال گسترش است.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، مایکروسافت عملیات سایبری جدیدی را شناسایی کردهاست که برای انتقال تروجان با دسترسی از راه دور FlawedAmmyy RAT بهعنوان payload نهایی از یک زنجیره آلودهسازی پیشرفته بهرهمیبرد. حملات با ارسال یک ایمیل حاوی پیوست اکسل (XLS) آغاز میشوند.
حملات پیشین که بدافزار FlawedAmmyy را منتقل میکردند توسط عوامل تهدید TA۵۰۵ انجام شده بودند. در این حملات با اجرای موفق درِ پشتی، مهاجم سیستم هدف را تحت کنترل خود درمیآورد و میتواند فایلهای قربانی را مدیریت کند و از صفحه اسکرینشات بگیرد.
در حملاتی که اخیرا شناسایی شده، از فایلهای XLS مخرب در ایمیلها استفاده شدهاست. این فایلها پس از اجرا به طور خودکار یک ماکرو را اجرا میکنند که این ماکرو فایل msiexec.exe را اجرا میکند. فایل msiexec.exe برای دانلود و نصب بستههای MSI و MSP در ویندوز بهکار میرود. این فایل سپس یک فایل اجرایی دیگر با نام wsus.exe را رمزگشایی و در حافظه اجرا میکند. این زنجیره در نهایت منجر به رمزگشایی و اجرای payload نهایی در حافظه میشود.
به گفته تیم امنیتی مایکروسافت، payload نهایی که مستقیما به حافظه منتقل میشود همان بدافزار FlawedAmmyy است. از قابلیتهای FlawedAmmyy میتوان به موارد زیر اشاره کرد:
• کنترل از راه دور دسکتاپ،
• مدیریت فایلهای سیستم،
• پشتیبانی از پراکسی،
• گفتوگوی صوتی.
در اوایل سال جاری نیز گروه TA۵۰۵ تروجان FlawedAmmyy را از طریق اسناد اکسل مخرب و حاوی کد ماکرو منتشر کردهبود که بهسختی با کنترلهای امنیتی استاندارد قابل شناسایی بود.
دریافت صفحه با کد QR