شماره: IRCNE2013061872
تاريخ:21/03/92
با توجه به يافته هاي شركت امنيتي Rapid7، كاربران كشورهاي ويتنام، هند، چين، تايوان و احتمالا كشورهاي ديگر آسيا هدف حمله بدافزاري قرار گرفتند كه از اسناد Word مايكروسافت استفاده مي كند تا برنامه راه نفوذ مخفي را نصب كند و به مهاجمان اجازه دهد تا اطلاعات كاربران را به سرقت ببرند.
در اين حملات هدفمند از اسناد Word دستكاري شده استفاده مي شود و از طريق پست الكترونيكي براي قربانيان مورد نظر فرستاده مي شود. اين اسناد از آسيب پذيري هاي شناخته شده سوء استفاده مي كند كه سيستم هايي را تحت تاثير قرار مي دهد كه مايكروسافت آفيس را به روز رساني نكرده اند.
زماني كه اين اسناد مخرب باز شوند، دو سند از آسيب پذيري هاي اجراي كد از راه دور در مولفه كنترلي ويندوز سوء استفاده مي كند. اين آسيب پذيري ها با عنوان CVE-2012-0158 و CVE-2012-1856 شناخته مي شوند و مايكروسافت آفيس نسخه هاي 2003، 2007 و 2010 را تحت تاثير قرار مي دهند. در سال 2012 شركت مايكروسافت اين آسيب پذيري ها را به عنوان بخشي از بولتن هاي امنيتي MS12-027 و MS12-060 اصلاح نمود.
اسناد مخرب يك برنامه راه نفوذ مخفي را نصب مي كند كه محققان Rapid7 آن را KeyBoy ناميدند.اين بدافزار يك سرويس جديد ويندوزي را ثبت مي كند كه MdAdum ناميده مي شود و مي تواند يك فايل DLL مخرب را با نام CREDRIVER.dll بارگذاري نمايد.
بدافزار KeyBoy اعتبارنامه هاي ذخيره شده در اينترنت اكسپلورر و موزيلا فايرفاكس را به سرقت مي برد و يك مولفه keylogger را نصب مي كند كه مي تواند اعتبارنامه هاي ذخيره شده در گوگل كروم را نير به سرقت ببرد. هم چنين اين راه نفوذ مخفي به مهاجمان اجازه مي دهد تا اطلاعات كامپيوترهاي هدف حمله، فهرست دايركتوري ها را بدست آورند و فايل هاي دلخواه را دانلود يا آپلود نمايد.
علاوه براين، اين بدافزار مي تواند يك پوسته فرمان (command shell) ويندوز را بر روي سيستم آلوده باز كند و بدين ترتيب دستورات ويندوز را از راه دور بر روي آن سيستم اجرا نمايد.
- 3