اسناد مایکروسافت ورد از آسیبپذیری اجرای کد از راه دور سواستفاده میکند و با استفاده از فیشینگ، بدافزاری به نام LokiBot را در سیستم نصب میکند. کارا لین محقق آزمایشگاه Fortinet FortiGuard گفت: «LokiBot، از سال 2015 به عنوان یک تروجان سرقت اطلاعات شناخته شده است. این آسیبپذیری سیستمهای ویندوز را هدف قرار می دهد و هدف آن جمع آوری اطلاعات حساس از سیستمها است." شرکت امنیت سایبری این آسیبپذیری را در می 2023 شناسایی کرده است. این حملات از آسیبپذیریهای CVE-2021-40444 و CVE-2022-30190 برای نصب بدافزار به سیستم های قربانیان سوءاستفاده میکنند.
فایل Word که با استفاده از آسیبپذیری CVE-2021-40444 که حاوی یک لینک GoFile خارجی است و در یک فایل XML تعبیه شده است که منجربه دانلود یک فایل HTML می شود و LokiBot را رمزگشایی و راه اندازی می کند، سوء استفاده می کند. این آسیبپذیری همچنین دارای تکنیکهایی است که برای بررسی وجود دیباگرها و تعیین اینکه آیا در یک محیط مجازی اجرا میشود، بکار میرود.
یک روش دیگر که در اواخر ماه می کشف شد توسط یک سند Word شروع می شود که شامل یک اسکریپت ویژوال بیسیک (VBA) است که بلافاصله پس از باز کردن سند با استفاده از توابع "Auto_Open" و "Document_Open" یک بدافزار ماکرو را اجرا می کند.
اسکریپت ماکرو متعاقباً به عنوان مجرای برای انتقال payload موقت از یک سرور راه دور عمل می کند، که همچنین به عنوان یک انژکتور برای بارگذاری LokiBot و اتصال به یک سرور فرمان و کنترل (C&C server) عمل می کند.
LokiBot، دارای قابلیتهایی برای ثبت ضربههای کلید، گرفتن اسکرین شات، جمعآوری اطلاعات اعتبار ورود به سیستم از مرورگرهای وب، و siphon دادهها از انواع کیف پولهای ارزهای دیجیتال است.
کارا لین می گوید: "LokiBot یک بدافزار قدیمی و گسترده است که سالهاست فعال است. عملکردهای آن در طول زمان به بلوغ رسیده است و استفاده مجرمان سایبری را برای سرقت داده های حساس از قربانیان آسان می کند. مهاجمان پشت LokiBot به طور مداوم روش های دسترسی اولیه خود را به روز می کنند و به کمپین بدافزار آنها اجازه می دهند راه های کارآمدتری برای انتشار و آلوده کردن سیستم ها پیدا کنند."
منبع
https://thehackernews.com/2023/07/cybercriminals-exploit-microsoft-word.html
- 102