در این روش همانطور که در تصاویر زیر مشاهده میکنید کاربر ایمیلی را حاوی یک فایل Word با پسوند Doc دریافت میکند و پس از باز کردن آن تشویق میشود تا محتویات سند را با دابل کلیک بر روی تصویر نامه باز کند. با دابل کلیک کردن، میانبری اجرا میشود که به وسیله آن فایل دستورات دانلود و اجرای بد افزار به وسیله PowerShell ویندوز اجرا میشود.
نمونه یک ایمیل با تکنیک حمله Word OLE :
نمونه یک فایل Word الصاق شده به ایمیل :
این جدیدترین ترفند هکرها برای آلوده کردن قربانیان به باج افزار Locky میباشد. این ترفند تا این لحظه توسط 17 آنتی ویروس شناسائی میشود اما هنوز توسط 41 نوع آنتی ویروس دیگر ناشناخته است. لیست این آنتی ویروس ها در لینک زیر درج شده است :
🔗 https://goo.gl/DN6Hpo
آنتی ویروس های ESET این نوع حملات را با عنوان LNK/TrojanDownloader.Agent.HT و آنتی ویروس های کسپرسکی آن را با عنوان Trojan.WinLNK.Agent.gen مسدود میکند. همچنین با ارسال نمونه ها به لابراتوآر رومانی، شناسائی در آنتی ویروس Bitdefender نیز به زودی اضافه خواهد شد.
ارتباط این نوع حملات با باج افزار Locky :
تحقیقات دقیق تر در مورد این نوع حمله حاکی از این است که فایل های Word با استفاده از Powershell اقدام به دانلود فایلی با نام 8.exe میکنند که این فایل مربوطه به باج افزار locky میباشد. در نمونه های آنالیز شده این نسخه از باج افزار Locky پس از رمزنگاری پسوند فایل ها را به .asasin تغییر میدهد.
تصویر پرداخت باج با عنوان asasin.bmp در سیستم قربانی این نوع حملات :
ESET به عنوان سریعترین آنتی ویروس کد های PS1 این حملات را مسدود کرده است :
محققین ویروس شناسی کامیران کدهای مخرب Powershell که در این حملات مورد سوء استفاده قرار گرفته است را شناسائی کردند و با هماهنگی های لازم با لابراتوآر براتیسلاوا در کمتر از یک ساعت در آنتی ویروس های ESET شناسائی شد.
روند شناسائی در سایر آنتی ویروس های طرف قرارداد کامیران نیز در حال انجام است اما تا این لحظه از 59 آنتی ویروس موجود، فقط آنتی ویروس های ESET فایل های Ps1 این حملات را شناسائی میکند:
گزارش ویروس توتال :
🔗 https://goo.gl/b6b7VN
برای دریافت سریع اخبار امنیتی در مورد ویروس ها و حملات جدید در کانال تلگرام مدیران شبکه شرکت کامیران عضو شوید :
آنتی ویروس تحت شبکه
