هکرها اکنون برای انتشار بدافزار و دسترسی راهدور به سیستمهای هدف خود، از ایمیلهای فیشینگ و ذخیرهی فایلهای پیوست در برنامهی واننوت مایکروسافت استفاده میکنند. این روش میتواند برای نصب بدافزارهای بیشتر، سرقت گذرواژهها یا حتی کیف پولهای رمزارزی مورد استفاده قرار گیرد.
این درحالی است که مهاجمان از سالها قبل، بدافزارها را با پیوست فایل در اسناد ورد و اکسل و ارسال آن ازطریق ایمیل، روی سیستمهای هدف نصب میکردند. در این روش از ماکروها برای دانلود نصب بدافزار استفاده میشود.
بااینحال، مایکروسافت در ماه جولای سرانجام ماکروها را بهطور پیشفرض در اسناد آفیس غیرفعال کرد و در نتیجه هکرها دیگر نمیتوانند از این روش برای توزیع بدافزارها استفاده کنند. اما مهاجمان پساز این اقدام مایکروسافت بیکار نماندند و برای انتشار بدافزارهای خود از فرمتهای جدیدی مثل ایمیجهای ISO و فایلهای ZIP که با رمز محافظت میشوند استفاده کردند. مهاجمان در این روش با استفاده از باگ ویندوز، هشدارهای امنیتی را برای فایلهای ISO آلودهی خود دور میزدند.
بههرحال باگ فوق اکنون در برنامهی فشردهساز فایل 7Zip و ویندوز رفع شده است و درنتیجه اگر فایل ISO یا ZIP آلودهای روی کامپیوتر دانلود شود، سیستمعامل هشدارهای امنیتی مرتبط با آن را نمایش خواهد داد.
اکنون هکرها روش خود را بار دیگر تغییر داده و با استفاده از فرمت فایل جدید در پیوستهای هرزنامهی مخرب خود ازطریق برنامهی OneNote مایکروسافت روی آورند.
سواستفاده از پیوستهای OneNote
OneNote یک برنامهی یادداشتبرداری دیجیتال است که میتوانید آن را بهطور رایگان دانلود کنید و همچنین بهطور پیشفرض در مجموعهی آفیس ۲۰۱۹ و مایکروسافت ۳۶۵ ارائه شده است.
از آنجا که OneNote بهطور پیشفرض در همهی نصبهای آفیس و مایکروسافت ۳۶۵ وجود دارد، حتی اگر کاربر ویندوز از آن استفاده نکند، هکرها همچنان میتوانند از آن برای بازکردن بدافزارها روی سیستمهای هدف بهره ببرند.
محققان امنیت سایبری از اواسط دسامبر، هشدار دادند که هکرها توزیعهای ایمیلهای هرزنامهی مخرب حاوی پیوستهای OneNote را آغاز کردهاند. طبق نمونههای بررسیشده در BleepingComputer این ایمیلهای ناخواسته وانمود میکنند که اعلانهای DHL، صورتحسابها، فرمهای حوالهی ACH، نقشههای مکانیکی و اسناد حملونقل هستند.
واننوت برخلاف ورد و اکسل از ماکروها پشتیبانی نمیکند و بههمین دلیل عوامل تهدید از قبل اسکریپتهایی را برای نصب بدافزارها اجرا میکنند. این برنامه بهکاربران اجازه میدهد پیوستهای ایمیلهای دریافتی را در یک دفترچهی دیجیتال قرار دهند که با دوبار کلیک روی آن، باز خواهد شد.
عوامل تهدید با پیوست کردن فایلهای آلودهی VBS که اسکریپت جاسازی شده در آنها، با دوبار کلیک برای دانلود ازطریق وبسایت راهاندازی میشود، از این ویژگی بهره میبرند.
بههرحال، پیوستها در واننوت مثل نماد فایل بهنظر میرسند و بنابراین عوامل تهدید، نوار بزرگ دابلکلیک را روی پیوستهای VBS قرار میدهند تا از دید کاربر پنهان بمانند.
وقتی نوار کلیک برای مشاهدهی سند حذف شود، مشاهده خواهید کرد فایل پیوست مخرب، خود شامل چندین ضمیمهی دیگر است. این ردیف از پیوستها باعث میشود با دابلکلیک کاربر در هرنقطهای از نوار فایل، ضمیمهی آلودهی آن راهاندازی شود.
البته هنگام اجرای پیوستها در برنامهی OneNote، هشداری دریافت خواهید کرد که اعلام میکند اینکار میتواند به رایانه و دادههای شما آسیب بزند. البته تجربه نشان میدهد کاربران معمولاً این نوع هشدارها را نادیده میگیرند و فقط آن را تأیید میکنند.
با کلیک روی دکمهی OK در هشدار امنیتی واننوت، اسکریپت VBS برای دانلود و نصب بدافزار اجرا خواهد شد. همانطور که در یکی از فایلهای مخرب VBS در این برنامه مشاهده شده است، اسکریپت موردنظر دوفایل را از سرور راهدور دانلود و سپس اجرا میکند.
اولین موردی که در زیر نشان داده شده است، یک سند فریبنده درمورد OneNote است که به سند موردانتظار شما شباهت دارد. بااینحال، فایل VBS همچنین یک فایل مخرب دیگر را در پسزمینهی کامپیوتر اجرا خواهد کرد تا بدافزار نهایی را ازطریق آن نصب کند.
BleepingComputer با بررسی ایمیلهایی که ضمیمههای آلوده دارند به این نکته پی برد که اجرای این اسکریپتها، امکان دسترسی راهدور را دراختیار هکرها قرار میدهند و درنتیجه اطلاعات موجود در حافظهی کامیپوتر هدف درمعرض خطر قرار خواهد گرفت.
یک محقق سایبری، موضوع انتشار بدافزار ازطریق فایلهای ضمیمه در OneNote را تأیید و اعلام کرد نمونههایی که او تجزیهوتحلیل کرده است، حاوی تروجان دسترسی از راهدور AsyncRAT و XWorm بودند.
بررسی یکی از فایلهای پیوست آلوده در OneNote نشان داد ابزار تروجانی بهنام Quasar Remote Access را روی سیستم هدف نصب میکند.
محافظت دربرابر این تهدایدت
نصب بدافزارها ازطریق فایلهای پیوست به هکرها اجازه میدهد از راهدور به دستگاه شخص قربانی دسترسی پیدا کنند و فایلها و رمزهای عبور ذخیرهشده روی مرورگر را بهدست آورند. آنها حتی میتوانند با وبکم ویدیو ضبط کنند یا از نمایشگر اسکرینشات بگیرند. هکرها همچنین از تروجانهای دسترسی راهدور برای سرقت کیف پولهای رمزارز استفاده میکنند.
بدینترتیب بهترین راهکار برای محافظت از کامپیوترهای ویندوزی دربرابر پیوستهای مخرب OneNote این است که فایلهایی دریافتی از افراد ناشناس را بههیچ وجه باز نکنید. بااینحال، اگر بهاشتباه یک فایل آلوده را باز کردید، هشدارهای نمایش داده شده را نادیده نگیرید.
اگر هنگام تلاش برای باز کردن یک فایل ضمیمه با هشدار امنیتی مواجه شدیدی و سیستمعامل به شما اعلام کرد فایل مذکور میتواند به رایانه آسیب برساند، روی OK کلیک نکنید و برنامهی موردنظر را ببندید.
