انتشار ابزار جدید برای ساخت داکیومنت‌های بسیار مخرب با نام EtterSilent

انتشار ابزار جدید برای ساخت داکیومنت‌های بسیار مخرب با نام EtterSilent

از اواسط سال گذشته یک ابزار هک جدید برای انجام حملات بر روی ایمیل توسط نفوذگران در انجمن‌های هکری رواج یافته است. با توجه به تبلیغات و توضیحات درج شده در انجمن‌های هک، استفاده از این ابزار برای دور زدن Windows Defender، Windows AMSI (Antimalware Scan Interface) و همچنین فیلترهای امنیتی سرویس‌های ایمیل معروف، از جمله Gmail موثر است. محققان امنیت سایبری شرکت امنیتی Intel 471 نشان داده‌اند که EtterSilent می‌تواند دو نوع داکیومنت جعلی Microsoft Office با قابلیت بهره برداری از آسیب‌پذیری با شناسه(CVE-2017-8570) یا ساخت ماکروهای مخرب ایجاد کند. این ابزار چگونه کار می‌کند؟ از جمله سواستفاده‌های موجود در بخش خرابکاری‌های ابزار می‌توان به بهره‌برداری از آسیب‌پذیری‌هایی با شناسه CVE-2017-8570، CVE-2017-11882 و CVE-2018-0802 اشاره کرد که البته استفاده از آن‌ها در ویندوز با آخرین نسخه Microsoft Office بیهوده است. داکیومنت مخرب هنگامی که باز می‌شود، الگویی را نشان می‌دهد که به عنوان DocuSign شناخته می شود. DocuSign نرم افزار محبوبی است که به افراد و سازمان‌ها اجازه می‌دهد اسناد را به‌صورت الکترونیکی امضا کنند. سپس maldoc از ماکروهای Excel 4.0 ذخیره شده در یک sheet پنهان استفاده می‌کند ، که به شما امکان می‌دهد یک پیلود میزبان خارجی را دانلود، روی دیسک قرارداده و با استفاده از regsvr32 یا rundll32 اجرا کنید. از آنجا، مهاجمان می‌توانند سایر بدافزارهای مختلف را پیگیری و یا drop کنند. به طور کلی، مهاجمان در حوزه حملات به ایمیل، بیشتر از گزینه ماکرو مخرب استفاده می‌کنند، چون با هر نسخه Microsoft Office پشتیبانی شده توسط EtterSilent از 2007 تا 2019 سازگار است. همچنین به گفته محققان intel 471 استفاده از ماکرو، نسبت به بهره‌برداری مستقیم، سازگاری بالاتری دارد. در اینجا، قربانی فقط باید متقاعد شود تا عملکرد ماکروها را فعال کند. چنین داکیومنت‌هایی هنوز توسط مهاجمین از سمت DocuSign یا DigiCert توزیع می شود. با این حال، نکته قابل توجه در این مورد این است که، بجای استفاده از VBA، از ماکرو Microsoft Excel 4.0 XML استفاده می‌شود، در حالی که در اکثر موارد مشابه دیگر، بیشتر اوقات گزینه ثانویه توسط مهاجمین استفاده می‌شود. در حال حاضر، نشانه‌های استفاده از EtterSilent در ایمیل‌هایی با هدف توزیع Trickbot، BazarLoader و همچنین تروجان‌های بانکی مانند IcedID / BokBot، QakBot / QBot و Ursnif، Rovnix، Gozi و Papras دیده می‌شود. ابزارهای ساخت داکیومنت‌های مخرب Microsoft office که کار را برای مجرمان اینترنتی آسان می‌کنند، پیش از این ایجاد شده‌اند. کارایی و استفاده از این ابزارها تا زمانی‌که یک پایگاه داده با امضای جعلی به کمک آن ها ایجاد شود کاربرد خواهد داشت. به گفته کارشناسان امنیت سایبری، یک هفته پیش، نتایج استفاده از EtterSilent تنها با چند اسکنر انتی ویروس از مجموعه VirusTotal نشان داده شده است و اکنون یک سوم یا حتی نیمی از آن‌ها شناسایی می‌شود. تهیه و تدوین: سینا فقیری