شناخت پیوستهای مخربی که بهطور گسترده توسط مهاجمان در ایمیلهای فیشینگ ناقل بدافزار مورد استفاده قرار میگیرند نقشی مؤثر در ایمن ماندن از گزند این نوع تهدیدات دارد.
منبع : مرکز مدیریت راهبردی افتا
شناخت پیوستهای مخربی که بهطور گسترده توسط مهاجمان در ایمیلهای فیشینگ ناقل بدافزار مورد استفاده قرار میگیرند نقشی مؤثر در ایمن ماندن از گزند این نوع تهدیدات دارد.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، راهاندازی کارزارهای هرزنامهای (Spam Campaign) در ظاهر صورتحساب، دعوتنامه، اطلاعات پرداخت، اطلاعات مرسوله، نمابرهای الکترونیکی، پیامهای صوتی و مواردی از این قبیل از روشهای رایج توزیع بدافزار توسط گردانندگان تهدید است. در اکثر مواقع ایمیلهای ارسالی دارای پیوستهایی از نوع سند Word یا Excel یا لینکهایی هستند که کلیک بر روی آنها منجر به دریافت این نوع فایلها میشود. با باز شدن فایل و فعال شدن ماکرو (Macros)، بدافزار بر روی دستگاه دریافت و نصب میشود.
بهصورت پیشفرض در زمان باز شدن فایلهای حاوی ماکرو در پیامی مشابه با تصویر زیر در خصوص فعالسازی این قابلیت از کاربر کسب اجازه میشود. در صورت کلیک بر روی دکمه Enable Editing یا Enable Content ماکرو فعال میشود. برای فریب و تشویق کاربر به کلیک بر روی دکمههای مذکور، توزیعکنندگان بدافزار با درج متن و تصویر در فایلهای Word و Excel اینطور القا میکنند که اشکالی در نمایش محتوای سند وجود دارد و برطرف کردن آن مستلزم کلیک بر روی Enable Editing یا Enable Content است. در ادامه این مطلب به نمونه پیوستهایی که در کارزارهای هرزنامهای برای توزیع برخی بدافزارهای پرانتشار این روزها مورد استفاده قرار میگیرند پرداخته شده است.
باید در نظر داشت که این نمونهها میتوانند در انتشار بدافزارهایی به غیر از آنچه که در اینجا به آنها اشاره شده نیز نقش داشته باشند. ضمن این که اینها فقط چند نمونه اندک از موارد متعدد این نوع فایلهای ناقل بدافزار هستند.
BazarLoader BazarLoader بدافزاری است که بهطور خاص بر روی آلودهسازی سازمانهای بزرگ تمرکز دارد و توسط افراد پشتپرده تروجان TrickBot توسعه داده شده است. بهمحض نصب شدن، مهاجمان از BazarLoader/BazarBackdoor برای اتصال به دستگاه قربانی بهصورت از راه دور بهره گرفته و در ادامه دامنه نفوذ خود را به کل شبکه گسترش میدهند.
در بسیار مواقع آلوده شدن به BazarLoader درنهایت منجر به توزیع باجافزار Ryuk و رمزگذاری فایلها بر روی سیستمهای متصل به شبکه میشود.
ایمیلهای فیشینگی که BazarLoader را توزیع میکنند معمولا حاوی لینکهایی به فایلهای Word یا Excel به اشتراک گذاشته شده بر روی Google Docs و Google Sheets هستند. در این اسناد Google Doc در پیامی جعلی که نمونهای از آن در شکل زیر قابل مشاهده است از کاربر خواسته میشود تا برای رفع اشکال، سندی را دریافت کند که در عمل فایلی با قابلیت اجرایی و توانایی نصب BazarLoader است. Dridex Dridex یک تروجان بانکی مبتنی بر ماژول است که نخستین نسخه از آن در سال ۲۰۱۴ ظهور کرد و از آن زمان تاکنون بهطور مستمر در حال تکامل بوده است.
با آلوده شدن، Dridex اقدام به دریافت ماژولهای مختلفی میکند که امکان سرقت رمزهای عبور، اتصال به دستگاه یا اجرای فعالیتهای مخرب دیگر را برای مهاجمان فراهم میکند. دسترسی این بدافزار به شبکه معمولا منجر به توزیع باجافزار BitPaymer یا فعال شدن عملکرد باجافزاری Dridex میشود.
برخلاف سایر کارزارهای توزیع بدافزار، گردانندگان Dridex از فایلهای با طراحی مفصل که حاوی محتوای کم یا مبهمسازیشده (Obfuscated) هستند بهمنظور متقاعد کردن کاربر به کلیک بر روی Enable Content استفاده میکنند. برای مثال، در فایل زیر عنوان میشود که سند توسط نسخه قدیمی Microsoft Office Word ساخته شده و خواندن محتوا در آن بدون کلیک بر روی دکمههای مذکور دشوار است. در برخی کارزارهای Dridex در فایلهایی مشابه با شکل زیر اینطور ظاهر میشود که سند حاوی اطلاعات مرسولهای از سوی DHL و UPS است. در مواردی نیز Dridex با نمایش صورتحسابهای پرداخت با محتوای نامفهوم کاربر را تشویق به کلیک بر روی دکمه Enable Editing میکنند تا بهدروغ اطلاعات بهطور صحیح نمایش داده شود. همانطور که در مثالهای بالا اشاره شد در فایلهای ناقل Dridex به کرات از تصاویر و عنوان و نشان شرکتها برای فریب کاربر و فعالسازی ماکروها استفاده میشود.
Emotet Emotet ازجمله بدافزارهایی است که بهطور گسترده از طریق ایمیلهای هرزنامهای با پیوست Word یا Excel منتشر میشود. بهمحض آلوده شدن، Emotet اقدام به سرقت ایمیل قربانی و استفاده از سیستم او برای توزیع هرزنامه به افراد دیگر در هر گوشه از جهان میکند.
دستگاههای آلوده به Emotet اغلب به تروجانهایی نظیر TrickBot و QakBot آلوده میشوند. مهاجمان از این تروجانها برای سرقت رمزهای عبور، کوکیها، فایلها و هک کل شبکه استفاده میکنند.
آلوده شدن به TrickBot شبکه را گرفتار باجافزارهای Ryuk یا Conti میکند. سازمانهایی هم که به QakBot آلوده شدهاند ممکن است درنهایت با باجافزار ProLock دست به گریبان شوند. بر خلاف Dridex، در اسناد ناقل بدافزار Emotet از تصاویر استفاده نمیشود. در عوض از دامنه گستردهای از پیامهای هشداری مبنی بر لزوم کلیک بر روی دکمه Enable Content جهت نمایش صحیح محتوا در سند بهره گرفته میشود. برای مثال، در نمونه زیر که به «طلوع سرخ» (Red Dawn) معروف شده در پیامی با عنوان «این سند حفاظت شده است» کاربر تشویق به کلیک بر روی دکمه Enable Editing یا Enable Content میشود. در نمونهای دیگر اینطور وانمود میشود که بهدلیل ایجاد سند بر روی یک دستگاه مبتنی بر iOS نمیتوان آن را بهدرستی باز کرد. یا در نمونه زیر گفته میشود که سند در Windows ۱۰ Mobile که مدتی است پشتیبانی آن خاتمه یافته، ایجاد شده است. در نمونهای دیگر صرفا قرار داشتن فایل در وضعیت Protected View برای کلیک بر روی Enable Editing بهانه میشود. در تصویر زیر برای موافقت با توافقنامهای جعلی درخصوص لیسانس Microsoft کلیک بر روی دکمه Enable Editing یا Enable Content توصیه میشود. در نمونه زیر پیامی در ظاهر مرتبط با Microsoft Office Activation Wizard ظاهر شده و در آن از کاربر خواسته میشود تا با کلیک بر روی دکمههای مذکور نسبت به فعالسازی Office اقدام کند. یا در نمونهای مشابه، پیام جعلی در قالب یک Microsoft Office Transformation Wizard ظاهر میشود. این تصاویر نشان میدهد که بجای استفاده از اسنادی با طراحی مفصل نظیر نمونههای Emotet با نمایش هشدارهای عمومی نسبت به متقاعد کردن کاربران به فعالسازی ماکروها تلاش میشود.
QakBot QakBot یک تروجان بانکی است که از طریق کارزارهای فیشینگ حاوی اسناد Word مخرب سازمانها را هدف قرار میدهد.
QakBot تروجانی مبتنی بر ماژول است که قادر به سرقت اطلاعات بانکی، نصب بدافزارهای دیگر و فراهم کردن امکان دسترسی از راه دور به دستگاه آلوده است. همچون سایر تروجانهای اشاره شده در این مطلب، QakBot با باجافزارها شراکت دارد و آلودهسازی به آن معمولا منجر به اجرای باجافزار ProLock میشود.
در مقایسه با Emotet، کارزارهای QakBot از فایلهای با طراحی به مراتب مفصلتر بهره میگیرند. از موارد پراستفاده در کارزارهای هرزنامهای QakBot میتوان به نمونه زیر اشاره کرد که در ظاهر از سوی شرکت DocuSign ارسال شده است. در نمونهای دیگر اینطور وانمود میشود که پیام مرتبط با Windows Defender، بهروزرسانی Word یا فعالسازی این نرمافزار است و باید بر روی دکمه Enable Editing یا Enable Content کلیک شود. پیوستهای اجرایی بهعنوان یک قاعده کلی نباید پیوستهای با هریک از پسوندهای زیر را باز کرد: • vbs • js • exe • ps1 • jar • bat • com • scr
همانطور که اکثر سرویسدهندگان معروف ایمیل، پیوستهای اجرایی را مسدود میسازند توزیعکنندگان بدافزار نیز این نوع فایلها را در قالب آرشیوهای حفاظت شده توسط رمز عبور به ایمیل پیوست میکنند. تکنیکی که پیوستهای اجرایی را قادر به عبور از سد درگاههای امنیتی و راه یافتن به صندوق پست الکترونیک کاربر میکند. پیوست بودن فایل اجرایی به ایمیل دریافتی به احتمال زیاد میتواند نشانهای از مخرب بودن آن باشد. در تنظیمات Windows بهصورت پیشفرض پسوند فایلهای متداول نمایش داده نمیشود. موضوعی که در بسیاری مواقع مورد سوءاستفاده مهاجمان قرار میگیرد. درنتیجه غیرفعال کردن گزینه Hide extensions for known file types در تنظیمات Folder Options توصیه میشود.