باج افزار جدید از قابلیت بازیابی فایلها سواستفاده میکند

هکرها روش جدیدی برای انتشار بدافزارها طراحی کرده‌اند. فایل‌های خراب یا آسیب‌دیده‌ای که نرم‌افزارهای آنتی‌ویروس قادر به شناسایی آنها نیستند و زمانی که قربانیان تلاش می‌کنند این فایل‌ها را بازیابی کنند، سیستم‌های آنها را آلوده می‌کنند.

به گزارش سرویس اخبار امنیت رسانه خبری تکنا، شرکت ANYRUN، ارائه‌دهنده خدمات اطلاعات تهدیدات سایبری که یک محیط شبیه‌سازی تعاملی برای تحلیل بدافزارها دارد، هشدار داده است که ممکن است این روش جدید در دنیای واقعی به‌عنوان یک حمله روز صفر مورد سوءاستفاده قرار گیرد. مهاجمان از طریق ایمیل‌های فیشینگ، آرشیوهای خراب ZIP یا فایل‌های MS Office آلوده را ارسال می‌کنند. این فایل‌ها زمانی که کاربر تلاش می‌کند آنها را بازیابی کند، اجرا می‌شوند.

چگونه حمله انجام می‌شود؟

وقتی یک سند خراب DOCX ممکن است در نرم‌افزار Word باز نشود، اما برنامه پیامی به این مضمون نمایش می‌دهد: “آیا می‌خواهید محتوای این سند را بازیابی کنید؟”
اگر کاربر گزینه “بله” را انتخاب کند، نرم‌افزار Word فایل مخرب را بازسازی و پردازش می‌کند.

این روش باعث می‌شود تا فایل‌های مخرب از شناسایی توسط آنتی‌ویروس‌ها و همچنین فیلترهای هرزنامه در Outlook عبور کرده و به صندوق ورودی کاربران برسند. این فایل‌ها تنها در حالت بازیابی توسط برنامه‌های مربوطه اجرا می‌شوند.

شرکت ANY.RUN در پلتفرم X توضیح داد: مهاجمان تلاش می‌کنند نوع فایل را با خراب کردن عمدی آن پنهان کنند، که این کار باعث می‌شود برخی از ابزارهای امنیتی نتوانند فایل را شناسایی کنند.
با اینکه این فایل‌ها خراب و آسیب‌دیده به نظر می‌رسند، همچنان برای ابزارهای امنیتی غیرقابل شناسایی باقی می‌مانند، اما برنامه‌های کاربری به دلیل سازوکارهای داخلی بازیابی، بدون مشکل آنها را پردازش می‌کنند.

شکست ابزارهای امنیتی

هیچ‌کدام از ۶۰ ارائه‌دهنده امنیتی که فایل‌های مشکوک را در پلتفرم VirusTotal تحلیل کردند، این فایل‌ها را به‌عنوان بدافزار شناسایی نکردند. زمانی که فایل‌های خراب به ابزارهای امنیتی ارائه می‌شوند، این ابزارها فرض می‌کنند که باید محتوای فایل (مثلاً فایل‌های درون آرشیو) را اسکن کنند، اما به دلیل عدم توانایی در استخراج محتوا، اسکن آغاز نمی‌شود و فایل آلوده نادیده گرفته می‌شود.

محققان توضیح داده‌اند: «مهاجمان از مکانیسم‌های بازیابی فایل‌های ‘آسیب‌دیده’ به‌گونه‌ای سوءاستفاده می‌کنند که برنامه‌های مربوطه مانند Microsoft Word، Outlook یا WinRAR که دارای فرایندهای بازیابی داخلی هستند، این فایل‌ها را بدون مشکل مدیریت می‌کنند.»

یک نمونه از حمله

در یک مثال ارائه‌شده، مهاجمان از یک ایمیل فیشینگ استفاده کردند که وانمود می‌کرد از طرف بخش منابع انسانی ارسال شده است و موضوع ایمیل به افزایش احتمالی حقوق اشاره داشت. فایل مخرب پیوست‌شده یک سند Word خراب بود که پس از بازیابی، کاربران را ترغیب می‌کرد تا یک کد QR مخرب را اسکن کنند. این کد کاربران را به دامنه‌ای مخرب هدایت می‌کرد.

تاکتیکی برای سرقت اطلاعات حساس

این روش به‌طور گسترده برای انتشار ابزارهای سرقت اطلاعات (infostealers) استفاده می‌شود. این ابزارها می‌توانند اطلاعاتی مانند نام کاربری و رمز عبور، کیف پول‌های رمز ارز، اطلاعات کارت‌های اعتباری و دیگر داده‌های حساس را سرقت کنند.

محققان ANY.RUN هشدار داده‌اند که این روش جدید حمله حداقل از چند ماه پیش مورد استفاده قرار گرفته است و نخستین موارد مشاهده‌شده به آگوست سال جاری بازمی‌گردد. این تاکتیک جدید چالشی جدی برای کاربران و شرکت‌های امنیت سایبری ایجاد کرده و نشان‌دهنده ضرورت افزایش آگاهی و تقویت ابزارهای امنیتی است.