خانه » پست‌هایی با برچسب "Malware"

هشدار! استفاده از آسیب‌پذیری پاورپوینت برای انتشار بدافزار و دور زدن محصولات امنیتی

یک آسیب‌پذیری اجرای کد از راه دور در مجموعه نرم‌افزاری مایکروسافت آفیس مربوط به واسط‌های OLE در ماه آوریل سال جاری وصله شد. اما اکنون مهاجمان در بخش‌های مختلفی همچنان از این آسیب‌پذیری بهره‌برداری می‌کنند. پژوهشگران امنیتی کمپین بدافزاری جدیدی را شناسایی کردند که از همین آسیب‌پذیری بهره‌برداری می‌کند و حمله با استفاده از یک پیوست آلوده در رایانامه‌های فیشینگ آغاز می‌شود. محصولات شرکت مایکروسافت از قبیل آفیس ۲۰۰۷ سرویس‌پک ۳، آفیس ۲۰۱۰ سرویس‌پک ۲، آفیس ۲۰۱۳ سرویس‌پک ۱، آفیس ۲۰۱۶، ویندوز ویستا سرویس‌پک ۲، ویندوز سرور ۲۰۰۸ سرویس‌پک ۲، ویندوز هفت سرویس‌پک ۱ و ویندوز ۸٫۱ دارای این آسیب‌پذیری هستند. فایل مخرب، یک اکسپلویت از آسیب‌پذیری CVE-2017-0199 را هدف قرار می‌دهد که روند آلودگی را آغاز می‌کند. در نتیجه کد مخرب با استفاده از ویژگی‌های انیمیشن‌های پاورپوینت اجرا می‌شود و یک فایلِ لوگو را دانلود می‌نماید. فایل logo.doc کدهای XML و Javascript را در بر میگیرد که پاورشل را برای اجرای فایلی به نام RATMAN.EXE به راه میاندازد – یک نسخه تروجانی از ابزار دسترسی از راه دور Remcos – که سپس به سرور فرماندهی و کنترل وصل می‌شود. هنگامیکه سیستم راهاندازی میشود، Remcos قادر است با استفاده از ریسک ماشین آلوده نسبت به کیلاگینگ، اسکرینلاگینگ، رکوردهای وبکم و میکروفن و همچنین دانلود و اجرای بدافزارهای دیگر، عملیات مخرب زیادی را انجام دهد. در واقع مهاجم یک کنترل کامل بر دستگاه آلوده – بدون آگاهی دارندۀ دستگاه – بدست میآورد. با توجه به گزارش پژوهشگران، اولین بار هست که اکسپلویتی برای هدف قرار دادن کاربران محصول پاورپوینت مایکروسافت و انتشار تروجان از طریق آن مورد استفاده قرار می‌گیرد.

گستردگی جغرافیایی:

تمامی کاربران محصولات مایکروسافت به این حمله آسیب‌پذیر هستند.

راهکارهای پیشگیری و مقابله:

تنها راه جلوگیری از آلوده شدن به این بدافزارها به‌روزرسانی‌ مایکروسافت و اعمال وصله منتشر شده برای این آسیب‌پذیری در این آدرس می‌باشد.

منابع:
🌏: Microsoft
🌏: ZDNet
🌏: Security Week
🇮🇷: کاشف

جاسوسی Hotspot Sheild VPN از کاربران خود

به تازگی یک گروه حامی حریم خصوصی از ارائه دهنده خدمت “Hotspot Shield VPN” به کمیسیون تجارت فدرال شکایت کردند. موضوع این شکایت، نقض خط مشی خود شرکت در حفظ حریم خصوصی و ناشناس ماندن کامل کاربران است. این شکایت در ۱۴ صفحه و از سوی مرکز دموکراسی و فناوری (CDT) تنظیم شده است. شرکت یادشده یک گروه غیرانتفاعی و فعال در حوزه حقوق دیجیتال بوده است که “Hotspot Shield VPN” را متهم به ردیابی، رخنه و جمع آوری داده های مشتریان خود کرده است. عمدتاً شبکه خصوصی مجازی یا به عبارتی VPN مورد استفاده طرفداران حریم خصوصی، روزنامه نگاران، فعالان دنیا ی دیجیتال و همچنین معترضان سانسور اطلاعات است که برای دور زدن محتوای مسدود شده استفاده می شود. در واقع VPN مجموعه ای از شبکه ها برای برقراری ارتباطی امن در سراسر اینترنت است که داده ها را رمزنگاری کرده، در نتیجه امنیت هویت کاربر را تامین می کند. در همین راستاف اپلیکیشن “Hotspot Shield VPN” نیز متعهد شده بود که امنیت تمام فعالیت های برخطّ را تضمین کرده، نشانی “IP” کاربران و هویت آنها را مخفی کند. اما با توجه به شکایت CDT، این شرکت به تعهدات و قول های خود در این باره پایبند نبوده است و با نظارت و بررسی رفتار کاربران در اینترنت، ترافیک آنلاین را تغییر مسیر می دهد و مهم تر از همه داده های مشتریان خود را به تبلیغ‌دهندگان می فروشد.

منابع:

🌏: Silicon Angle
🇮🇷: کاشف

ربودن حساب یک میلیون کاربر با افزونه کروم

بیش از یک میلیون کاربر پس از اینکه توسعه دهنده افزونه بسیار محبوب کروم، قربانی حمله فیشینگ شد، در معرض آگهی-افزارها قرار گرفتند. این رویداد در تاریخ ۱ آگوست پیش آمد، زمانی که «کریس پِدِریک»- مدیر فنی گزارش بِلیچِر- پس از کلیک روی پیوند دریافت شده از طریق یک رایانامه فیشینگ، گواهینامه های توسعه دهنده خود را به نمایش گذاشت. نتیجه این بود که مهاجمان به حساب او دسترسی پیدا کرده، نسخۀ اصلاح شده از افزونه کروم توسعه دهنده شبکه را در دست گرفتند و بی درنگ، پس از انتشار نسخه ویرانگر افزونه (v۰.۴.۹)، دسترسی به پایگاه یک میلیون کاربر آغاز شد. مردم درباره رفتارهای ویرانگر جدید آن شکایت کردند که شامل جای دادن تبلیغات در وبگاه های بازدید شده بود. اوایل روز بعد، توسعه دهنده توانست یک نسخه جدید (v۰.۵) از افزونه را برای حذف کد ویرانگر بارگذاری کند. توسعه دهنده متذکر می شود که تنها نسخه کروم توسعه دهنده شبکه به خطر افتاده است و بر نسخه‌های فایرفاکس و اُپرا تاثیر نداشته است. او کاربران کروم را تشویق می کند تا افزونه را هرچه زودتر به نسخه ی ۰.۵ به روزرسانی کنند.

منابع:

🌏: Security Week
🇮🇷: کاشف