هکرها اکنون بدافزارها را ازطریق فایل‌های ضمیمه برنامه OneNote مایکروسافت منتشر می‌کنند

دوشنبه ۳ بهمن ۱۴۰۱ - ۱۳:۳۰
مطالعه 5 دقیقه
ضمیمه حاوی بدافزار در ایمیل
با غیرفعال شدن روش انتشار بدافزار ازطریق ماکروهای اسناد ورد و اکسل، اکنون هکرها از پیوست‌های برنامه‌ی OneNote برای اینکار استفاده می‌کنند.
تبلیغات

هکرها اکنون برای انتشار بدافزار و دسترسی راه‌دور به سیستم‌های هدف خود، از ایمیل‌های فیشینگ و ذخیره‌ی فایل‌های پیوست در برنامه‌ی وان‌نوت مایکروسافت استفاده می‌کنند. این روش می‌تواند برای نصب بدافزارهای بیشتر، سرقت گذرواژه‌ها یا حتی کیف پول‌های رمزارزی مورد استفاده قرار گیرد.

این درحالی است که مهاجمان از سال‌ها قبل، بدافزارها را با پیوست فایل در اسناد ورد و اکسل و ارسال آن ازطریق ایمیل، روی سیستم‌های هدف نصب می‌کردند. در این روش از ماکروها برای دانلود نصب بدافزار استفاده می‌شود.

بااین‌حال، مایکروسافت در ماه جولای سرانجام ماکروها را به‌طور پیش‌فرض در اسناد آفیس غیرفعال کرد و در نتیجه هکرها دیگر نمی‌توانند از این روش برای توزیع بدافزارها استفاده کنند. اما مهاجمان پس‌از این اقدام مایکروسافت بی‌کار نماندند و برای انتشار بدافزارهای خود از فرمت‌های جدیدی مثل ایمیج‌های ISO و فایل‌های ZIP که با رمز محافظت می‌شوند استفاده کردند. مهاجمان در این روش با استفاده از باگ ویندوز، هشدارهای امنیتی را برای فایل‌های ISO آلوده‌ی خود دور می‌زدند.

نمایش هشدار درمورد فایل ضمیمه آلوده در OneNote
هشدار امنیتی ویندوز برای فایل‌های آلوده‌ی ISO

به‌هرحال باگ فوق اکنون در برنامه‌ی فشرد‌ه‌ساز فایل 7Zip و ویندوز رفع شده است و درنتیجه اگر فایل ISO یا ZIP آلوده‌ای روی کامپیوتر دانلود شود، سیستم‌عامل هشدارهای امنیتی مرتبط با آن را نمایش خواهد داد.

اکنون هکرها روش خود را بار دیگر تغییر داده و با استفاده از فرمت فایل جدید در پیوست‌های هرزنامه‌ی مخرب خود ازطریق برنامه‌ی OneNote مایکروسافت روی آورند.

سواستفاده از پیوست‌های OneNote

OneNote یک برنامه‌ی یادداشت‌برداری دیجیتال است که می‌توانید آن را به‌طور رایگان دانلود کنید و همچنین به‌طور پیش‌فرض در مجموعه‌ی آفیس ۲۰۱۹ و مایکروسافت ۳۶۵ ارائه شده است.

از آن‌جا که OneNote به‌طور پیش‌فرض در همه‌ی نصب‌های آفیس و مایکروسافت ۳۶۵ وجود دارد، حتی اگر کاربر ویندوز از آن استفاده نکند، هکرها همچنان می‌توانند از آن برای بازکردن بدافزارها روی سیستم‌های هدف بهره ببرند.

محققان امنیت سایبری از اواسط دسامبر، هشدار دادند که هکرها توزیع‌های ایمیل‌های هرزنامه‌ی مخرب حاوی پیوست‌های OneNote را آغاز کرده‌اند. طبق نمونه‌های بررسی‌شده در BleepingComputer این ایمیل‌های ناخواسته وانمود می‌کنند که اعلان‌های DHL، صورت‌حساب‌ها، فرم‌های حواله‌ی ACH، نقشه‌های مکانیکی و اسناد حمل‌ونقل هستند.

ارسال ضمیمه آلوده به بدافزار در OneNote
نمونه ایمیل جعلی DHL حاوی فایل ضمیمه‌ی آلوده به بدافزار

وان‌نوت برخلاف ورد و اکسل از ماکروها پشتیبانی نمی‌کند و به‌همین دلیل عوامل تهدید از قبل اسکریپت‌هایی را برای نصب بدافزارها اجرا می‌کنند. این برنامه به‌کاربران اجازه می‌دهد پیوست‌های ایمیل‌های دریافتی را در یک دفترچه‌ی دیجیتال قرار دهند که با دوبار کلیک روی آن، باز خواهد شد.

عوامل تهدید با پیوست کردن فایل‌های آلوده‌ی VBS که اسکریپت جاسازی شده در آن‌ها، با دوبار کلیک برای دانلود ازطریق و‌ب‌سایت راه‌اندازی می‌شود، از این ویژگی بهره می‌برند.

ضمیمه مخفی حاوی بدافزار
فایل ضمیمه‌ی مخفی

به‌هرحال، پیوست‌ها در وان‌نوت مثل نماد فایل به‌نظر می‌رسند و بنابراین عوامل تهدید، نوار بزرگ دابل‌کلیک را روی پیوست‌های VBS قرار می‌دهند تا از دید کاربر پنهان بمانند.

وقتی نوار کلیک برای مشاهده‌ی سند حذف شود، مشاهده خواهید کرد فایل پیوست مخرب، خود شامل چندین ضمیمه‌ی دیگر است. این ردیف از پیوست‌ها باعث می‌شود با دابل‌کلیک کاربر در هرنقطه‌ای از نوار فایل، ضمیمه‌ی آلوده‌ی آن راه‌اندازی شود.

هشدار onenote به احتمال آسیب رساندن فایل به کامپیوتر
هشدار امنیتی برنامه‌ی OneNote درمورد ضمیمه‌های آلوده به بدافزار

البته هنگام اجرای پیوست‌ها در برنامه‌ی OneNote، هشداری دریافت خواهید کرد که اعلام می‌کند اینکار می‌تواند به رایانه و داده‌های شما آسیب بزند. البته تجربه نشان می‌دهد کاربران معمولاً این نوع هشدارها را نادیده می‌گیرند و فقط آن را تأیید می‌کنند.

با کلیک روی دکمه‌ی OK در هشدار امنیتی وان‌نوت، اسکریپت VBS برای دانلود و نصب بدافزار اجرا خواهد شد. همان‌طور که در یکی از فایل‌های مخرب VBS در این برنامه مشاهده شده است، اسکریپت موردنظر دوفایل را از سرور راه‌دور دانلود و سپس اجرا می‌کند.

اولین موردی که در زیر نشان داده شده است، یک سند فریبنده درمورد OneNote است که به سند موردانتظار شما شباهت دارد. بااین‌حال، فایل VBS همچنین یک فایل مخرب دیگر را در پس‌زمینه‌ی کامپیوتر اجرا خواهد کرد تا بدافزار نهایی را ازطریق آن نصب کند.

اسکریپت مخرب در فایل ضمیمه OneNote
نمونه اسکریپت آلوده VB در یکی از فایل ضمیمه‌ی حاوی بدافزار OneNote

BleepingComputer با بررسی ایمیل‌هایی که ضمیمه‌های آلوده دارند به این نکته پی برد که اجرای این اسکریپت‌ها، امکان دسترسی راه‌دور را دراختیار هکرها قرار می‌دهند و درنتیجه اطلاعات موجود در حافظه‌ی کامیپوتر هدف درمعرض خطر قرار خواهد گرفت.

یک محقق سایبری، موضوع انتشار بدافزار ازطریق فایل‌های ضمیمه در OneNote را تأیید و اعلام کرد نمونه‌هایی که او تجزیه‌وتحلیل کرده است، حاوی تروجان‌ دسترسی از راه‌دور AsyncRAT و XWorm بودند.

بررسی‌ یکی از فایل‌های پیوست آلوده در OneNote نشان داد ابزار تروجانی به‌نام Quasar Remote Access را روی سیستم هدف نصب می‌کند.

محافظت دربرابر این تهدایدت

نصب بدافزارها ازطریق فایل‌های پیوست به هکرها اجازه می‌دهد از راه‌دور به دستگاه شخص قربانی دسترسی پیدا کنند و فایل‌ها و رمزهای عبور ذخیره‌شده روی مرورگر را به‌دست آورند. آن‌ها حتی می‌توانند با وبکم ویدیو ضبط کنند یا از نمایشگر اسکرین‌شات بگیرند. هکرها همچنین از تروجان‌های دسترسی راه‌دور برای سرقت کیف پول‌های رمزارز استفاده می‌کنند.

بدین‌ترتیب بهترین راهکار برای محافظت از کامپیوترهای ویندوزی دربرابر پیوست‌های مخرب OneNote این است که فایل‌هایی دریافتی از افراد ناشناس را به‌هیچ وجه باز نکنید. بااین‌حال، اگر به‌اشتباه یک فایل آلوده را باز کردید، هشدارهای نمایش داده شده را نادیده نگیرید.

اگر هنگام تلاش برای باز کردن یک فایل ضمیمه با هشدار امنیتی مواجه شدیدی و سیستم‌عامل به شما اعلام کرد فایل مذکور می‌تواند به رایانه‌ آسیب برساند، روی OK کلیک نکنید و برنامه‌ی موردنظر را ببندید.

تبلیغات
داغ‌ترین مطالب روز

نظرات

تبلیغات