تصيب مرفقات Microsoft Word غير المرغوب فيها والتي لا تحتوي على وحدات ماكرو المستخدمين ببرامج ضارة

لم تعد مرفقات مستندات Word التي تنشر البرامج الضارة تطلب تمكين وحدات الماكرو

يتم استخدام هجمات البريد العشوائي التي لا تحتوي على وحدات ماكرو بالفعل

لسنوات عديدة ، كان البريد الإلكتروني العشوائي الذي يحتوي على مرفقات ضارة هو الطريقة التي نفذت 93٪ من البرامج الضارة[1] خلال العامين الماضيين. انطلاقا من آخر الأخبار من Trustwave SpiderLabs[2] الباحثين ، يبدو أن انتشار البرمجيات الخبيثة ، لا سيما أحصنة طروادة ، وبرامج التجسس ، و Keyloggers ، و Worms ، و Ransomware ، سيعتمد أيضًا على عدد مرفقات البريد الإلكتروني الضارة التي سيفتحها الأشخاص. ومع ذلك ، سيقدم المتسللون تغييرًا مهمًا واحدًا - من الآن فصاعدًا ، قد يتلقى الأشخاص بريدًا عشوائيًا باستخدام مرفقات Word أو Excel أو PowerPoint ضارة دون الحاجة إلى تشغيل وحدات ماكرو النصي. إذا تم تنفيذ برامج ضارة سابقة فقط عندما قامت الضحية المحتملة بتمكين وحدات الماكرو ،[3] الآن سيتم تنشيطه بمجرد النقر المزدوج على مرفق بريد إلكتروني.

تقنية أقل ماكرو قيد الاستخدام بالفعل

على الرغم من أن الباحثين تمكنوا من اكتشافه فقط في بداية شهر فبراير ، إلا أنه يبدو أن لقد تم إطلاق التكنولوجيا الأقل استخدامًا في وقت مبكر جدًا وقد يكون الضحايا المحتملون قد فعلوا ذلك بالفعل استقبلهم.

تستخدم حملة البريد العشوائي الخالية من ماكرو الجديدة مرفقات Word الضارة لتنشيط الإصابة من أربع مراحل ، والتي تستغل ملف ثغرة أمنية في محرر معادلات Office (CVE-2017-11882) للحصول على تنفيذ التعليمات البرمجية من البريد الإلكتروني للضحية و FTP و المتصفحات. قامت Microsoft بالفعل بتصحيح الثغرة الأمنية CVE-2017-11882 العام الماضي ، لكن العديد من الأنظمة لم تتلق التصحيح لأي سبب من الأسباب.

التقنية الخالية من الماكرو المستخدمة لنشر البرامج الضارة متأصلة في مرفق بتنسيق .DOCX ، في حين أن أصل البريد الإلكتروني العشوائي هو Necurs botnet.[4] وفقًا لـ Trustwave ، يمكن أن يختلف الموضوع ، لكن كل منهم لديه علاقة مالية. تمت ملاحظة أربعة إصدارات ممكنة:

  • بيان حساب تي ان تي
  • طلب عرض أسعار
  • إشعار تحويل التلكس
  • نسخة سويفت لدفع الرصيد

وافق SpiderLabs على أن المرفق الخبيث يتزامن مع جميع أنواع رسائل البريد الإلكتروني العشوائية التي لا تحتوي على ماكرو. وفقًا لهم ، يُطلق على مرفق .DOCX اسم "إيصال. docx."

سلسلة تقنية الاستغلال الخالي من الماكرو

تبدأ عملية الإصابة متعددة المراحل بمجرد قيام الضحية المحتملة بفتح ملف .DOCX. يقوم الأخير بتشغيل كائن OLE (ارتباط الكائنات وتضمينها) الذي يحتوي على مراجع خارجية لخوادم المتسللين. بهذه الطريقة ، يحصل المتسللون على وصول بعيد إلى كائنات OLE ليتم الرجوع إليها في document.xml.rels.

يستغل مرسلو البريد العشوائي مستندات Word (أو بتنسيق .DOCX) التي تم إنشاؤها باستخدام Microsoft Office 2007. يستخدم هذا النوع من المستندات تنسيق Open XML ، الذي يعتمد على تقنيات أرشيف XML و ZIP. وجد المهاجمون طريقة للتعامل مع هذه التقنيات يدويًا وتلقائيًا. بعد ذلك ، تبدأ المرحلة الثانية فقط عندما يفتح مستخدم الكمبيوتر الشخصي ملف .DOCX الضار. عندما يتم فتح الملف ، فإنه ينشئ الاتصال عن بعد ويقوم بتنزيل ملف RTF (تنسيق ملف نصي منسق).

عندما يفتح المستخدم ملف DOCX ، فإنه يتسبب في الوصول إلى ملف مستند بعيد من عنوان URL: hxxp: // gamestoredownload [.] download / WS-word2017pa [.] doc. هذا في الواقع ملف RTF يتم تنزيله وتنفيذه.

هذا هو الشكل الذي تبدو عليه تقنية تنفيذ البرامج الضارة الأقل ماكرو بشكل تخطيطي:

  • يتلقى الضحية المحتملة رسالة بريد إلكتروني مرفق بها ملف DOCX.
  • ينقر نقرًا مزدوجًا فوق المرفق ويقوم بتنزيل كائن OLE.
  • الآن يتم فتح ملف Doc المفترض ، والذي هو في الواقع RTF ، في النهاية.
  • يستغل ملف DOC الثغرة الأمنية CVE-2017-11882 Office Equation Editor.
  • تعمل التعليمات البرمجية الضارة على سطر أوامر MSHTA.
  • يقوم هذا الأمر بتنزيل وتنفيذ ملف HTA ، والذي يحتوي على VBScript.
  • يقوم VBScript بفك حزم برنامج PowerShell النصي.
  • يقوم سكربت Powershell فيما بعد بتثبيت البرامج الضارة.

حافظ على نظام التشغيل Windows و Office محدثين لحماية نفسك من هجمات البرامج الضارة التي لا تحتوي على ماكرو

لم يجد خبراء الأمن السيبراني حتى الآن طريقة لحماية حسابات البريد الإلكتروني للأشخاص من هجمات Necurs. ربما لن يتم العثور على حماية مائة بالمائة على الإطلاق. أهم نصيحة هي الابتعاد عن رسائل البريد الإلكتروني المشكوك فيها. إذا لم تكن تنتظر وثيقة رسمية ، ولكنك تتلقى واحدة من العدم ، فلا تقع في غرام هذه الحيلة. تحقق في مثل هذه الرسائل بحثًا عن أخطاء نحوية أو مطبعية لأن السلطات الرسمية لن تترك أي أخطاء في إخطاراتها الرسمية.

بالإضافة إلى الحذر ، من المهم الحفاظ على تحديث Windows و Office. أولئك الذين عطلوا التحديثات التلقائية لفترة طويلة معرضون بشكل كبير للإصابة بالفيروسات الشديدة. قد يشتمل النظام القديم والبرامج المثبتة عليه على ثغرات أمنية مثل CVE-2017-11882 ، والتي لا يمكن تصحيحها إلا عن طريق تثبيت آخر التحديثات.