در چند ماه گذشته، گروه مختلفی از هکرها بدافزارهایی را با کمک ماکروهای آلوده در اسناد آفیس توزیع کردهاند تا شیوهای قدیمی و مربوط به یک دهه قبل را دوباره زنده کنند. ماکروها اسکریپتهایی هستند که یک سری دستورات متوالی را بهطور خودکار برای اجرای برخی کارها در انواع مختلفی از برنامههای کاربردی تعبیه میکنند.
برنامههای ورد و اکسل آفیس مایکروسافت از ماکروهای نوشته شده با زبان
ویژوال بیسیک برای برنامههای کاربری (VBA)هستند.هم اکنون، برخی
فعالیتهای مخرب برای نصب بدافزارهای آلوده از این ماکروها استفاده
میکنند. در گذشته، همزمان با ورود ویندوز XP در سال 2001، ماکروهای
جاسازی شده در فایلها باید برای اجرا مجوزهایی را از کاربر میگرفتند. این
مجوزها با سؤال و تأیید از سوی کاربر روبهرو بود. همین روال موجب شد هکرها
ماکروها را کنار بگذارند و نتوانند با این روش بدافزارها و ویروسها را
توزیع و منتشر کنند. اکنون بهنظر میرسد ماکروها با ترکیب روشهای مهندسی
اجتماعی میتوانند به درون کامپیوترها نفوذ کنند و مؤثر واقع شوند. یکی از
محققان امنیتی مایکروسافت در وبلاگ خود مینویسد: «MMPC یا مرکز مقابله با
بدافزارهای مایکروسافت اخیراً مشاهده کرده است تعداد تهدیدهای مبتنی بر
ماکروها برای گسترش کدهای مخرب افزایش یافته است.»
دو تهدید به نامهای
Adnel و Tarbir اواسط دسامبر گذشته کاربران دو کشور امریکا و انگلستان را
بهطور ویژه مورد حمله قرار داده بودند. هر دو این تهدیدها از طریق
ماکروهای جاسازی شده در فایلهای با پسوند doc و xls توزیع شدند. این اسناد
نیز از طریق هرزنامهها و تحت عنوان فاکتور، رسید تحویل کالا، تأییدیه
انتقال، صورتحساب و اعلامیههای تبلیغ لباس و ارسال آنها در اینترنت
منتشر میشوند. این محقق مایکروسافت میگوید: «وقتی این ایمیلها باز
میشوند، قربانی مرحله به مرحله راهنمایی میشود تا به صورت پنهانی یک
ماکرو تأیید نشده را روی سیستم اجرا کند.» ترکیبی از اسناد راهنما،
هرزنامهها با وعدههای مالی، نام فایلهای فریبنده و موضوعات عمومی
میتوانند کاربر را متقاعد کنند روی گزینههایی کلیک و دستوراتی را اجرا
کند که در پشت پرده برای نصب یک ماکرو تعبیه شدهاند. بدافزار دیگری که
ماکروها توزیع میکنند، Dridex نام دارد و کاربران بانکهای آنلاین را هدف
قرار داده است. به گزارش مؤسسه Trustwave، این بدافزار در ماه نوامبر
بهاوج فعالیت خود رسید و از طریق پانزده هزار سند آلوده به ماکروهای مخرب
در روز توزیع میشد. این اسناد بهصورت فاکتورهایی از شرکتهای نرمافزاری،
خردهفروشان آنلاین، مؤسسههای بانکی و شرکتهای حمل و نقل مطرح برای
کاربران قربانی ارسال میشدند. کاربر با پیگیری مراحلی که نیاز به بازکردن
این ایمیل و محتویات آن است، بهطور ناخواسته ماکرو را اجرا میکند.
تنها هکرهای علاقهمند به سرقتهای مالی یا دسترسی به اطلاعات حیاتی کاربران و سایتها از این شیوه استفاده نمیکنند، بلکه هکرهای سایبری دولتی نیز از ماکروها بهرهبرداری میکنند. دو محقق به نامهای گادی اورون و تیلمن وارنر اخیراً روی یک حمله سایبری به نام Rocket Kitten علیه کنگره ارتباطات Chaos هامبورگ تحقیقی انجام دادند. نتایج این تحقیق نشان میدهد هکرها مراکز دولتی و سازمانهای آکادمی شرق اروپا و... را هدف قرار دادند و از هرزنامههای فیشینگ شامل یک فایل اکسل و یک ماکرو آلوده استفاده کردند.
وقتی این فایل اکسل باز میشود، ماکرو آلوده یک درپشتی (Backdoor) خطرناک را نصب میکند. یک گروه هکری دیگر در ماه سپتامبر با استفاده از اسناد نرمافزار ورد آفیس مایکروسافت و یک ماکرو آلوده به نام CosmicDuke، وزارت خارجهای را در اروپا هدف قرار داده بود. محققان مؤسسه F-Secure درباره این ماکرو میگویند: «هنگامی که فایل پیوست ایمیل را باز میکنید، سند ورد با دستوراتی که کلیک میکنید، به شما کمک میکند ماکرو را فعال کنید.» تمام این گزارشها از بازگشت ماکروهای آلوده خبر میدهند. البته این بار مهندسی اجتماعی و فریبکاری نیز به این موضوع اضافه شده است.
-----------------------------------------------------------------------------
مجموعه ای فعال در زمینه ارائه ،نصب و راه اندازی انواع محصولات امنیت شبکه و آنتی ویروسهای تحت وب
اف سکیورF-Secure ، سیمانتک Symantec ، ای ست Eset و.............
ایمیل آلما : info@almanet.ir
وب سایت اصلی آلما : www.almanet.ir
021-66932635
021-66932688
021-66419334
تهران،کارگر شمالی،خیابان نصرت،نرسیده به جمالزاده،نبش کوچه امینیان،پلاک 2، واحد 17