هشدار جدی در مورد بدافزارهای آفیس در ویندوز 11

یک شرکت تحقیقاتی امنیتی به نام Anomali Thread Research به تازگی هشداری را در مورد اسناد خطرناک مایکروسافت ورد (maldoc) صادر کرده است. شش مورد از این اسناد مخاطره‌آمیز در قالب سند ساخته‌شده به وسیله windows 11 alpha شناسایی شده‌اند. نام فایل مربوطه، Users-Progress-072021-1.doc است.

اکثر افراد مجربی که با بیلدهای مختلف ویندوز 11 و نسخه‌های متغیر آن‌ها سروکار دارند، می‌دانند که چنین فایلی تاکنون وجود نداشته است. اما افراد تازه‌کار به این موضوع واقف نیستند و به سبب تبلیغات شنیده شده در مورد ویندوز جدید، ممکن است فایل خطرناک را به اجرا درآورند.

زنجیره آلودگی از یک سند ورد (.doc) آغاز می‌شود که حاوی یک تصویر فریبنده است و ادعا می‌کند که به وسیله ویندوز 11 آلفا ساخته شده است. این تصویر از کاربر می‌خواهد تا روی گزینه‌های Enable Editing و Enable Content کلیک کرده و به مرحله بعدی برود.

با تحلیل فایل، می‌توان مشاهده کرد که ماکروی VBA به وسیله داده‌های بیهوده در قالب کامنت های فراوان مقداردهی می‌شود. پس از فعال‌سازی content/editing، ماکرو به اجرا درمی‌آید.

داده‌های بیهوده یک روش متداول برای مهاجمین جهت به چالش کشیدن تحلیل است. پس از حذف این داده‌های بیهوده، یک ماکروی VBA به جا می‌ماند که حاوی پیلود جاوا اسکریپت (پیلود درب پشتی) است.

با اینکه هدف این اقدام تهاجمی هنوز مشخص نشده، اما تحلیل‌های انجام‌شده به حملات فیشینگ ایمیل و کمپین های اسپیرفیشینگ اشاره می‌کنند.

داده‌های بیهوده بسیاری به سبب اجرای ماکروها وارد سیستم می‌شود و عملیات تحلیل را برای پژوهشگران و شکارچیان جرائم سایبری سخت و دشوار می‌کند. فرایند پاک‌سازی مدت‌زمان زیادی به طول می‌انجامد و نشان می‌دهد که عوامل تهدیدآمیز تا چه اندازه مایل به آلوده سازی سیستم به وسیله این اسناد هستند.

اسناد maldoc بازرسی‌های متعددی را انجام می‌دهد، مثل:

• زبان
• بازرسی VM
• باز‌رسی ظرفیت حافظه
• و بازرسی دامنه‌ای به نام CLEARMIND

ظاهرا CLEARMIND دامنه یک ارائه‌دهنده سرویس POS برای بخش فروش و مهمان‌پذیری است. طبق گفته‌های شرکت تحقیقاتی Anomali، این فایل توسط گروه FIN7 ساخته شده که به سرقت داده‌ها در مقیاس‌های بزرگ معروف است.