اخیراً مهاجمان برای اجرای خودکار یک بدافزار دانلود کننده به نام #Ostap که پیشتر بهکارگیری آن توسط بدافزار Trickbot مشاهده شده بود، از Remote Desktop ActiveX Control در ویندوز 10 و مستندات ورد استفاده میکنند. ویژگی Remote Desktop ActiveX Control به مایکروسافت اجازه میدهد تا مرتباً سیستم عامل را برای محافظت هر چه بیشتر از سیستم بهروزرسانی کند؛ اما در این حمله از این ویژگی برای اجرا ماکروهای مخرب که حاوی بدافزار دانلودکنندهی Ostap هستند، استفاده شده است. در این گزارش به بررسی عملکرد این بدافزار میپردازیم.
آغاز کار با فیشینگ
بدافزار دانلود کننده Ostap، از طریق مستند word آلوده به کد ماکرو و حاوی تصویری که رمزنگاری شده است، کاربران را به سمت فعال کردن ماکرو در مستند ورد سوق میدهند. فایل ورد مخرب از طریق ایمیلهای فیشینگ به دست قربانی میرسد. شکل زیر نمونه ایمیل فیشینگ به همراه فایل ورد مخرب پیوست شده به آن را نشان میدهد.
- 20