انتشار یک بدافزار از طریق فایلهای پیدیاف
کارشناسان امنیتی اخیرا راه جدیدی برای انتشار یک بدافزار با استفاده از پیوستهای پیدیاف از طریق اینترنت کشف کردهاند.
به گزارش موبوایران، کارشناسان امنیتی اخیرا راه جدیدی برای انتشار یک بدافزار با استفاده از پیوستهای پیدیاف از طریق اینترنت کشف کردهاند.
دریافت پیوستهای مخرب ایمیل در فرمت پیدیاف، بسیار نادر است زیرا اغلب ایمیلهای مخرب بهصورت فایلهای docx یا xls همراه با ماکروهای بارگذاری بدافزار ارسال میشوند. با آگاهی مردم از خطر باز کردن پیوستهای مایکروسافت آفیس حاوی ماکروهای مخرب، مرکز ماهر (مدیریت امداد و هماهنگی رخدادهای رایانهای) گزارش داده که مهاجمان به روشهای دیگری برای استقرار ماکروهای مخرب و فرار از شناسایی مانند قرار دادن داکیومنتهای مخرب ورد در فایلهای پیدیاف، روی میآورند.
کارشناسان امنیتی HP Wolf Security، اخیرا راه جدیدی را برای انتشار یک بدافزار با استفاده از پیوستهای PDF از طریق اینترنت کشف کردهاند. در این حالت داکیومنتهای ورد از طریق پیوستهای پیدیاف منتقل میشوند. درحالیکه این پیدیاف، Remittance Invoice نام دارد و براساس عنوان و محتوای آن، به نظر میرسد دریافتکننده ایمیل مبلغی را دریافت خواهد کرد. به نظر میرسد محتوای داکیومنت پیدیاف که از طریق ایمیل دریافت شده، حاوی وعدههای جعلی است.
فایل DOCX حاوی همان محتوای پیدیاف است بنابراین Adobe Reader از کاربر میپرسد که فایل DOCX را باز کند یا خیر که این موضوع ممکن است برای قربانی گیجکننده باشد، زیرا درخواست تایید باز کردن فایل یا Open File از جانب Adobe Reader یک حس اطمینان را برای باز کردن فایل در کاربر ایجاد میکند. برخلاف کاربران عادی، تحلیلگران بدافزار از ابزارهایی مانند تجزیهکنندهها و اسکریپتها برای بررسی فایلهای قرار دادهشده در پیدیافها استفاده میکنند.
یک فایل DOCX معمولا در اغلب موارد به جای برنامههای مختلف در قالب مایکروسافت ورد باز میشود. بنابراین اگر ماکروها فعال باشند، فایلهای DOCX در مایکروسافت ورد از یک منبع راه دور به فرمت RTF دانلود میشوند. در فایل ورد، به همراه URL جاییکه پیلود قرار دارد، دستوری تعبیه شده است که منجر به دانلود RTF میشود. در این حمله، shellcode از آسیبپذیری "CVE-۲۰۱۷-۱۱۸۸۲" سوءاستفاده میکند. علیرغم اینکه آسیبپذیری مذکور در نوامبر ۲۰۱۷ وصله شد اما Equation Editor هنوز یک آسیبپذیری کد از راه دور را نشان میدهد که در صورت حذف نشدن باید فوراً مورد بررسی قرار گیرد.
با وجود اینکه همواره هشدار داده میشود که روی لینکهای ناشناس و حتی لینکهای مشکوکی که از دوستان و آشنایان ارسال میشود کلیک نکنید، اما این احتمال وجود دارد که افراد به هر دلیل، از وعده اینترنت رایگان تا ثبتنام در یک سایت بختآزمایی، باز هم روی لینکها کلیک کرده و گرفتار حمله فیشینگ یا باجافزاری شوند، در برخی موارد نیز درخواستی مبنی بر کلیک کردن روی لینک اینگونه ایمیلها در قالب ایمیلهای تبلیغاتی فرستاده میشود و گیرنده را برای باز کردن ایمیلها تشویق میکند.
به همین دلیل کارشناسان هشدار میدهند کاربران نباید هر ایمیلی که برایشان ارسال میشود را باز کنند، مخصوصاً اگر این ایمیل از فرستندهی ناشناس ارسال شده باشد و اگر موضوع و متن ایمیل جذاب بود، باید با شک و تردید بیشتری به آن نگاه کنند. همچنین دانلود و بهروزرسانی وصلههای امنیتی از مهمترین اقداماتی است که میتوان برای مقابله با بدافزارها انجام داد.