هشدارهای افتایی
یک پژوهشگر امنیتی به تازگی متوجه شده است که یک فایل csv می‌تواند حامل بدافزار باشد و اگر توسط مایکروسافت Excel تفسیر شود، می‌تواند تبدیل به اجراکننده بدافزار شود. این فایل ساده متنی می‌تواند بدون استفاده از ماکرو، Visual Basic، یا اکسپلویت‌ها، رفتار مخرب داشته باشد. زمانی که روی یک فایل عادی csv کلیک شود، نرم‌افزار Excel فعال شده، فایل csv را باز کرده و محتوای سلول‌های آن را تفسیر می‌کند. یک مهاجم می‌تواند محتوای خرابکارانه‌ای را وارد یک یا چند سلول کند.
در این فایل‌های مخرب، تعدادی فیلد خالی، یک دستورCMD  را تشکیل می‌دهند و با استفاده از تکنیک bitsadmin، مهاجم فایلی به نام now.exe را دانلود کرده و آن را در یک پوشه موقت برای اجرای آتی ذخیره می‌کند. در این مورد خاص، بدافزار دانلود شده از نوعNanoCore RAT است. در این زمان مهاجم، پروتکل تبادل داده دینامیک (DDE) را برای ارتباطات بین پردازشی که توسط Microsoft Excel،LibreOffice  و Apache OpenOffice پشتیبانی می‌شود را فعال می‌کند.
در حالی که OpenOffice و LibreOffice این آسیب‌پذیری را در نسخه‌هایLibreOffice-4.3.1  و OpenOffice-4.1.1 برطرف کردند. مایکروسافت این رفتار مخرب را با نمایش دو "هشدار" برای کاربر اطلاع‌رسانی می‌کند.
 
 
 
این هشدارها توصیه می‌کنند که اگر کاربر به منبع فایل اعتماد ندارد روی آن کلیک نکند. اما اگر این فایل از صفحه گسترده (spreadsheet) گوگل دریافت شود، کاربر به آن اعتماد خواهد کرد.
جالب‌ترین نکته در مورد این تکنیک، توانایی دور زدن فیلترهای گوگل است. با پیاده‌سازی تکنیک انتقال csv، یک مهاجم به راحتی می‌تواند از صفحه گسترده گوگل به عنوان انتقال‌دهنده بدافزار استفاده کند. اگر چه گوگل از تکنیک‌های پیشرفته ضدبدافزار gMail و gDrive استفاده می‌کند تا از گسترش بدافزارها در برابر تکنولوژی‌های خود جلوگیری کند. برای مثال، قبل از آپلود یا دانلود یک فایل ازgDrive ، آن‌ها را اسکن می‌کند، یا از پذیرش نوع خاصی از فایل‌ها (exe ، .zip. و غیره) در gMail اجتناب می‌کند. به گوگل در مورد این مسئله هشدار داده شده است اما گوگل بیان کرده که این یک "رفتار عمدی" است.
در نهایت مهاجم می‌تواند یک پیوند را از طریق یک پیام فوری پلتفرمی ویا ایمیل ارسال کند و خواستار باز کردن یک صفحه‌گسترده گوگل توسط قربانی شود. اکنون اگر قربانی این کار را انجام دهد و صفحه را به طور محلی فعال کند، ممکن است مهاجم سیستم وی را آلوده کند.

IOCها:
هش‌ها :
o    5e561bf9e088f8f2b9c0610fb6f61f6d7655f6a0988a0d304452d8fa73a6a628 (.CSV)
o    cd3d1b4d147a198e1a2b7e3f4370998142bf20cbdfdd3d30cf86d65b5bd40f50 (dropped)
دامنه‌ها :
o    http://7bwh.com/wp-content
o    http://7bwh.com/wp-content/plugins/Ultimate_VC_Addons/admin/ifeanyi/now.exe
o    99grams.ddns.net (c2)

منبع : 

 
امتیاز دهی
 
 

  • ارسال به دوستان
نام ارسال کننده :  
ایمیل ارسال کننده:
نام دریافت کننده :
ایمیل دریافت کننده :  
موضوع ایمیل :
کد تصویری :
 
 
امتیاز دهی
 
 


آدرس:
تهران، خیابان استاد شهید مطهری، خیابان میرزای شیرازی، کوچه شهدا، پلاک یک، مرکز مدیریت راهبردی افتا


ایمیل:
info@afta.gov.ir

.