کمپین‌ها

حمله Necurs
۲۳ خرداد ۱۳۹۷

تروجان FlawedAmmy

بسیاری از راهکارهای امنیتی بر این باور هستند که فایل‌هایی با فرمت .iqy فایل‌های مخربی نیستند. این موضوع فرصت بسیار خوبی را در اختیار کمپینی گسترده و جدید برای انتشار تروجان FlawedAmmy قرار داده است.

فایل‌های Excel Web Query برای بارگذاری داده از اینترنت به صورت مستقیم در فایل Excel استفاده می‌شوند. این فایل‌ها بسیار ساده (تنها چند خط متن) اما قدرتمند هستند. فایل‌های .iqy که در این کمپین مورد استفاده قرار گرفته‌اند یک اسکریپت پاورشل را از طریق Excel بارگذاری کرده و  یک زنجیره از فایل‌های مخرب را بارگذاری می‌نمایند.

 

 

محققان امنیت به تازگی کمپینی را کشف کرده‌اند که هرزنامه‌هایی با پیوست .iqy ارسال می‌نمایند. فایل‌هایی با فرمت .iqy به صورت پیش‌فرض با اکسل باز شده و وظیفه‌شان بارگذاری داده از اینترنت می‌باشد. در واقع این فایل‌ها مانند یک ناوشگر در داخل Excel عمل می‌نماید.

کمپین Necrus

در نسخه اول این کمپین نام هرزنامه “صورتحساب پرداخت نشده” بود و طوری به نظر می‌‍آمد که از سمت یکی از افراد سازمان ارسال شده است. زمانی که فایل آلوده .iqy باز می‌شود سعی می‌کند از URLای که در داخلش می‌باشد داده بارگذاری نماید. نمونه‌ای از این فایل را می‌توانید در شکل روبه‌رو ببینید:

داده‌ای که از آن صحبت کردیم می‌تواند یک اسکریپت پاورشل باشد.

به صورت پیش‌فرض مایکروسافت آفیس بارگذاری داده از منابع خارجی را مسدود می‌نماید. در نتیجه پیغام زیر نمایش داده می‌شود و اگر کاربر موافقت کند به مراحل بعد کشیده می‌شود.

متاسفانه بسیاری از کاربران این پیغام‌ها را نادیده می‌گیرند. بعد از طی این مراحل و اجرا شدن اسکریپت مورد نظر یک فایل .xls بارگذاری شده، یک فایل .exe که سربار نهایی آن FlawedAmmy می‌باشد اجرا می‌گردد.

FlawedAmmy یک تروجان از راه دور(Remote Access Trojan) می‌باشد که بر مبنای کدهای لو رفته از نسخه ۳ برنامه Ammy Admin توسعه داده شده است و این باج‌افزار اختیار کامل دستگاه قربانی را به مهاجم می‌دهد. این بدافزار مهاجم را قادر به دزدیدن فایل‌ها و داده‌های حساس قربانی می‌نماید.

آرمان داده پویان نمایندگی پلاتینیوم کسپرسکی در ایران

برای اطلاعات بیشتر تماس بگیرید


تازه ترین ها