هکرها از آسیب پذیری های نرم افزاری مایکروسافت آفیس برای گسترش یک فرم پیچیده از نرم افزارهای مخرب که قادر به سرقت اطلاعات، حذف نرم افزارهای مخرب اضافی، معدن کاوی و انجام حملات انکار سرویس توزیع شده (DDoS) می باشند، استفاده می نمایند.

این بدافزار از سال 2016 فعال بوده و برخلاف توانایی های قدرتمندی که دارد ، می توانید آن را به قیمت 75 دلار در بازار سیاه خریداری نمایید.

محققان FireEye یک کمپین جدید را در تلاش برای ارائه نرم افزارهای مخرب از طریق ارسال ایمیل های اسپم به اهدافی در زمینه های ارتباطات، بیمه و خدمات مالی مشاهده کرده اند و تمام این حملات تلاش کرده اند تا از آسیب پذیری های اخیر در نرم افزار مایکروسافت آفیس استفاده نمایند.

ایمیل های فیشینگ طراحی شده اند که با هدف انتخاب شده ارتباط داشته باشند و به همراه یک فایل زیپ حاوی یک سند مخرب می باشد، که کاربران تشویق به باز کردن می شوند. هنگامی که فایل مایکروسافت آفیس باز شود، آسیب پذیری های آفیس مورد سوء استفاده قرار می گیرند و بار مبتنی بر PowerShell اجرا می شود و قربانی را آلوده می کند.

یکی از آسیب پذیری هایی که توسط مهاجمان مورد بهره برداری قرار می گیرد CVE-2017-11882 است. در ماه دسامبر اعلام شده است، این یک آسیب پذیری امنیتی در مایکروسافت آفیس است که باعث می شود یک کد دلخواه زمانی اجرا شود که یک فایل اصلاح شده با بدافزار باز شود. در مورد این کمپین، آسیب پذیری اجازه می دهد که یک دانلود اضافی با استفاده از یک URL ذخیره شده در پیوست های خرابکار اجرا شود. دانلود شامل اسکریپت PowerShell است که نرم افزارهای مخرب را دانلود می نماید.

کمپین بدافزار همچنین تلاش می کند تا از آسیب پذیری CVE-2017-8759 استفاده نماید، در زمانی که مایکروسافت .NET Framework ورودی های نامشخص را پردازش می کند و می تواند به مهاجم اجازه کنترل سیستم را بدهد. در این مثال، فایل DOC متصل به ایمیل های فیشینگ حاوی یک شیء OLE جاسازی شده است که باعث می شود که یک URL ذخیره شده برای شروع فرایند PowerShell بارگیری شود. این آسیب پذیری در ماه سپتامبر منتشر و پچ شده است.

اگر اسکریپت PowerShell با موفقیت اجرا شود، کد را وارد می کند که بارگیری نهایی را از سرور فرمان و کنترل خود دریافت می نماید، که نرم افزارهای مخرب را بر روی کامپیوتر هدف قرار می دهد، در کنار توابعی که اجازه می دهد مهاجم از Tor برای پنهان سازی فعالیت های خود استفاده کند. بدافزار همچنین شامل پلاگین های مختلفی است که اجازه می دهد مهاجمین به طور مخفیانه تقریبا به هر نوع داده ذخیره شده در دستگاه دسترسی داشته باشند.

در میان ویژگی های این نرم افزارهای مخرب، توانایی سرقت گذرواژه ها از مرورگرهای وب محبوب، سرقت گذرواژه ها از برنامه های کاربردی FTP و سرقت گذرواژه ها از حساب های ایمیل نیز مشاهده شده است.

این بدافزار همچنین می تواند از کیف پول cryptocurrency سرقت کند و کلیه لایسنس های بیش از 200 نرم افزار محبوب را به سرقت ببرد که شامل نرم افزار هایی از جمله Office، SQL Server، Adobe، و Nero می شود.

علاوه بر اینکه قادر به سرقت از یک کاربر آلوده است، مهاجمان همچنین می توانند دستگاه آلوده را به یک شبکه بزرگتر از رایانه ها برای کمک به حملات DDoS وصل نمایند و همچنین از ماشین ها به عنوان ابزاری برای معدن کاوی استفاده کنند. بدافزار در سراسر دامنه های محبوب زیرزمینی تبلیغ شده است.

Swapnil Patil و Yogesh Londhe مححقان FireEye در این خصوص گفتند: "هکرها با آسیب پذیری های اخیر کشف شده در نرم افزار محبوب - در این مورد، مایکروسافت آفیس - فقط خطر تهدید شدن را افزایش می دهند. این نوع تهدیدات نشان می دهد چرا اطمینان از به روز بودن تمامی نرم افزارها بسیار مهم است."

کاربران باید اطمینان حاصل نمایند که همه پچ های منتشر شده برای محافظت در برابر CVE-2017-11882 و CVE-2017-8759 را دانلود کرده اند.

شرکت مایکروسافت به ZDNet اعلام کرد: "به روز رسانی های امنیتی در سال گذشته منتشر شد و مشتریانی که از آنها استفاده کرده اند و یا به روز رسانی خودکار را فعال کرده اند محافظت می شوند."