کشف یک بدافزار راه نفوذ مخفی جدید در قاره آسیا
با توجه به یافته های شرکت امنیتی Rapid7، کاربران کشورهای ویتنام، هند، چین، تایوان و احتمالا کشورهای دیگر آسیا هدف حمله بدافزاری قرار گرفتند که از اسناد Word مایکروسافت استفاده می کند تا برنامه راه نفوذ مخفی را نصب کند و به مهاجمان اجازه دهد تا اطلاعات کاربران را به سرقت ببرند.
در این حملات هدفمند از اسناد Word دستکاری شده استفاده می شود و از طریق پست الکترونیکی برای قربانیان مورد نظر فرستاده می شود. این اسناد از آسیب پذیری های شناخته شده سوء استفاده می کند که سیستم هایی را تحت تاثیر قرار می دهد که مایکروسافت آفیس را به روز رسانی نکرده اند.
زمانی که این اسناد مخرب باز شوند، دو سند از آسیب پذیری های اجرای کد از راه دور در مولفه کنترلی ویندوز سوء استفاده می کند. این آسیب پذیری ها با عنوان CVE-2012-0158 و CVE-2012-1856 شناخته می شوند و مایکروسافت آفیس نسخه های ۲۰۰۳، ۲۰۰۷ و ۲۰۱۰ را تحت تاثیر قرار می دهند. در سال ۲۰۱۲ شرکت مایکروسافت این آسیب پذیری ها را به عنوان بخشی از بولتن های امنیتی MS12-027 و MS12-060 اصلاح نمود.
اسناد مخرب یک برنامه راه نفوذ مخفی را نصب می کند که محققان Rapid7 آن را KeyBoy نامیدند.این بدافزار یک سرویس جدید ویندوزی را ثبت می کند که MdAdum نامیده می شود و می تواند یک فایل DLL مخرب را با نام CREDRIVER.dll بارگذاری نماید.
بدافزار KeyBoy اعتبارنامه های ذخیره شده در اینترنت اکسپلورر و موزیلا فایرفاکس را به سرقت می برد و یک مولفه keylogger را نصب می کند که می تواند اعتبارنامه های ذخیره شده در گوگل کروم را نیر به سرقت ببرد. هم چنین این راه نفوذ مخفی به مهاجمان اجازه می دهد تا اطلاعات کامپیوترهای هدف حمله، فهرست دایرکتوری ها را بدست آورند و فایل های دلخواه را دانلود یا آپلود نماید.
علاوه براین، این بدافزار می تواند یک پوسته فرمان (command shell) ویندوز را بر روی سیستم آلوده باز کند و بدین ترتیب دستورات ویندوز را از راه دور بر روی آن سیستم اجرا نماید.
نظر بدهید