از دسامبر ۲۰۲۱، تعداد آن دسته از کارزارهای موسوم به “فریب سایبری” یا فیشینگ (Phishing) افزایش قابل‌توجهی داشته است که در آن از اسناد مخرب PowerPoint برای توزیع انواع مختلف بدافزارها استفاده می‌شود.

به گزارش مرکز مدیریت راهبردی افتا، بدافزارهای بکار گرفته‌شده در این کارزارها از نوع “تروجان” (Trojan) هستند که شرایط دسترسی غیرمجاز از راه دور (Remote Access) و سرقت اطلاعات (Information-Stealing Trojan) را برای مهاجمان فراهم می‌کنند.
بنا بر گزارش آزمایشگاه تهدیدات سایبری نت‌اسکوپ (Netskope Threat Labs)، مهاجمان از سرویس‌های ابری معتبر برای میزبانی فایل‌های PowerPoint که حاوی کدهای بدافزاری هستند، استفاده کرده‌اند.
در این کارزار از Warzone (که به AveMaria نیز معروف است) و AgentTesla، استفاده می‌شود که هر دو نوعی RAT (Remote Access Trojan) پیشرفته هستند.
 بدافزارهای یادشده، اطلاعات اصالت‌سنجی را سرقت کرده و بسیاری از برنامه‌های کاربردی را هدف قرار می‌دهند. مهاجمان در این کارزار از بدافزارهای سرقت کننده رمزارز (Cryptocurrency Stealer) نیز استفاده می‌کنند.
فایل PowerPoint مخرب که پیوست ایمیل‌های فیشینگ است حاوی ماکروی مخفی‌شده (Obfuscated Macro) است که با به‌کارگیری از PowerShell و MSHTA، اجرا می‌شود که هر دو از ابزارهای تعبیه‌شده در Windows، هستند. سپس اسکریپت VBS از حالت مخفی خارج می‌شود (De-obfuscated) و جهت ماندگاری در سیستم، ورودی‌های جدید Registry را در Windows ایجاد می‌کند. این به نوبه خود، منجر به اجرای دو اسکریپت می‌شود. اسکریپت اول، بدافزار AgentTesla را از یک URL خارجی بازیابی کرده و اسکریپت دوم، Windows Defender را غیرفعال می‌کند.

علاوه بر این، اسکریپت VBS یک وظیفه زمان‌بندی‌شده (Scheduled Task) ایجاد می‌کند به صورتی که هر ساعت یک اسکریپت خاص اجرا می‌شود تا یک بدافزار سرقت کننده رمزارز را از یک نشانی اینترنتی در سایت Blogger همانند آنچه در تصویر زیر نشان‌داده‌شده، دریافت کند.

بدافزار AgentTesla یک نوع RAT مبتنی بر فناوری .NET است که می‌تواند رمزهای عبور مرورگر، کلیدهای فشرده‌شده در صفحه‌کلید، محتوای Clipboard و غیره را سرقت کند. بدافزار یادشده توسط PowerShell اجرا شده و تا حدودی مخفی‌شده است. علاوه بر این، تابعی نیز وجود دارد که کد بدافزاری را به فایل اجرایی “”aspnet_compiler.exe تزریق می‌کند.

دومین بدافزار مورداستفاده در این کارزار، Warzone است که آن نیز از نوع RAT بوده اما شرکت نت اسکوپ جزئیات زیادی در مورد آن در گزارش ارائه نکرده است.
 بدافزار سرقت کننده رمزارز، سومین کد بدافزاری مورداستفاده است که داده‌های Clipboard را جهت تشخیص نشانی کیف پول رمزارزها، بررسی می‌کند. در صورت پیدا کردن نشانی کیف پول معتبر، نشانی کیف پول گیرنده را با نشانی کیف پول مهاجم، جایگزین می‌کند. این سارق رمزارز، از رمزارزهایی همچون Bitcoun، Ethereum، XMR، DOGE و غیره پشتیبانی می‌کند.
محققان نت اسکوپ، لیست کامل نشانه‌های آلودگی (Indicators of Compromise – به‌اختصار IoC) مربوط به این کارزار را در نشانی زیر منتشر کرده‌اند:

https://github.com/netskopeoss/NetskopeThreatLabsIOCs/tree/main/AgentTesla/IOCs

شرکت فورتی نت (Fortinet) نیز در دسامبر ۲۰۲۱ در خصوص کارزار مشابهی با نام DHL گزارش داد که در آن نیز از اسناد PowerPoint برای اجرای بدافزار AgentTesla استفاده می‌شده است.
کاربران باید همانند فایل‌های Excel، با فایل‌های PowerPoint نیز بااحتیاط برخورد کنند زیرا کد ماکرو مخرب تعبیه‌شده در آن‌ها می‌تواند به همان اندازه خطرناک و فاجعه‌بار باشد.
مهاجمان در این کارزار، از سرویس‌های ابری معتبر برای میزبانی کدهای مخرب خود استفاده کردند تا توسط محصولات امنیتی شناسایی نشوند؛ بنابراین، مطمئن‌ترین اقدام محافظتی این است که بااحتیاط تمام، ارتباطات ناخواسته را مدیریت کرده و ماکروها در مجموعه نرم‌افزارهای Microsoft Office غیرفعال شوند.

منبع:
 

https://www.bleepingcomputer.com/news/security/malicious-powerpoint-files-used-to-push-remote-access-trojans/

https://afta.gov.ir/fa-IR/Portal/4927/news/view/14608/2008/Staging/%D8%A8%D9%87%D8%B1%D9%87%E2%80%8C%D8%AC%D9%88%DB%8C%DB%8C-%D9%85%D9%87%D8%A7%D8%AC%D9%85%D8%A7%D9%86-%D8%A7%D8%B2-PowerPoint-%D8%A8%D8%B1%D8%A7%DB%8C-%D8%AA%D9%88%D8%B2%DB%8C%D8%B9-%D8%A8%D8%AF%D8%A7%D9%81%D8%B2%D8%A7%D8%B1

(با تشکر ازشرکت مهندسی شبکه گستر برای همکاری در تهیه این گزارش)