مقدمه:

محققین امنیتی گزارش کردند که بدافزار جامع بات نتی Zyklon  که قریب دو سال از سرویس های مالی ، بیمه ای و مخابراتی بهره جویی می کند در حال حاضر از سه آسیب پذیری جدید در آفیس برای توسعه و انتشار استفاده می کند.

متن خبر:

در اوایل 2016، بدافزار تحت وب بات نتیZyklon  شناسایی شد. این بدافزار با استفاده از شبکه مخفی TOR با سرور کنترل مرکزی اش ارتباط برقرار می کند و به هکر امکان سرقت اطلاعات حساس مانند پسورد و کلیدهای فشرده شده را درون مرورگر کاربر و ایمیل می دهد. این بدافزار قابلیت اجرای افزونه های دیگر را نیز داشته و از سیستم های قربانی به صورت مخفیانه برای انجام حملات DDOS و کاوش پول رمزشده استفاده می کند و با اجرای یک اسکریپت پاورشل در سیستم قربانی، پیلود نهایی را از سرور کنترل مرکزی دانلود می کند.

سه آسیب پذیری آفیس عبارتند از :

• .NET Framework RCE Vulnerability (CVE-2017-8759)
• Microsoft Office RCE Vulnerability (CVE-2017-11882)
• Dynamic Data Exchange Protocol (DDE Exploit)

هکرها با اکسپلویت این آسیب پذیری ها، با استفاده از تکنیک spear phishing ایمیل، نسبت به ارسال بدافزار فوق از طریق یک فایل zip که حاوی فایل doc مخرب است، اقدام می کنند که به محض بازشدن این فایل مخرب از طریق یکی از سه آسیب پذیری فوق، اسکریپت پاورشل در سیستم قربانی اجرا شده و پیلود را دانلود می کند.

بهترین شیوه برای محافظت از این قبیل بدافزارها، بایستی اطلاع رسانی لازم به کارمندان سازمان در خصوص عدم بازکردن فایل های مشکوک در پیوست ایمیل انجام شود و همچنین آخرین وصله های امنیتی برنامه ها از جمله آفیس نصب گردد.

- منبع:

https://thehackernews.com/2018/01/microsoft-office-malware.html