انتشار یک بدافزار بوسیله فایل های پی دی اف

انتشار یک بدافزار بوسیله فایل های پی دی اف

کارشناسان امنیتی بتازگی راه جدیدی برای انتشار یک بدافزار با بهره گیری از پیوست های پی دی اف بوسیله اینترنت کشف کرده اند.
به گزارش سئو مئو به نقل از ایسنا، دریافت پیوست های مخرب ایمیل در فرمت پی دی اف، بسیار نادر است برای اینکه اغلب ایمیل های مخرب بصورت فایل های docx یا xls همراه با ماکروهای بارگذاری بدافزار ارسال می شوند. با آگاهی مردم از خطر باز کردن پیوست های مایکروسافت آفیس حاوی ماکروهای مخرب، مرکز ماهر (مدیریت امداد و هماهنگی رخدادهای کامپیوتر ای) گزارش داده که مهاجمان به روش های دیگری برای استقرار ماکروهای مخرب و فرار از شناسایی مانند قرار دادن داکیومنت های مخرب ورد در فایل های پی دی اف، روی می آورند.
کارشناسان امنیتی HP Wolf Security، بتازگی راه جدیدی را برای انتشار یک بدافزار با بهره گیری از پیوست های PDF بوسیله اینترنت کشف کرده اند. در این حالت داکیومنت های ورد بوسیله پیوست های پی دی اف منتقل می شوند. درحالیکه این پی دی اف، Remittance Invoice نام دارد و بر طبق عنوان و محتوای آن، بنظر می رسد دریافت کننده ایمیل مبلغی را دریافت خواهدنمود. بنظر می رسد محتوای داکیومنت پی دی اف که بوسیله ایمیل دریافت شده، حاوی وعده های جعلی است.
فایل DOCX حاوی همان محتوای پی دی اف است بدین سبب Adobe Reader از کاربر می پرسد که فایل DOCX را باز کند یا خیر که این مساله ممکنست برای قربانی گیج کننده باشد، برای اینکه درخواست تایید باز کردن فایل یا Open File از جانب Adobe Reader یک حس اطمینان را برای باز کردن فایل در کاربر به وجود می آورد. برخلاف کاربران عادی، تحلیل گران بدافزار از ابزارهایی مانند تجزیه کننده ها و اسکریپت ها جهت بررسی فایل های قرار داده شده در پی دی اف ها استفاده می نمایند.
یک فایل DOCX بطور معمول در بیشتر موارد بجای برنامه های مختلف در قالب مایکروسافت ورد باز می شود. بدین سبب اگر ماکروها فعال باشند، فایل های DOCX در مایکروسافت ورد از یک منبع راه دور به فرمت RTF دانلود می شوند. در فایل ورد، به همراه URL جاییکه پی لود قرار دارد، دستوری تعبیه شده است که منجر به دانلود RTF می شود. در این حمله، shellcode از لطمه پذیری “CVE-۲۰۱۷-۱۱۸۸۲” سوء استفاده می نماید. با وجود این که لطمه پذیری مذکور در نوامبر ۲۰۱۷ وصله شد اما Equation Editor هنوز یک لطمه پذیری کد ازراه دور را نشان میدهد که در صورت حذف نشدن باید فوراً بررسی شود.
به گزارش سئو مئو به نقل از ایسنا، با وجود این که همیشه هشدار داده می شود که روی لینک های ناشناس و حتی لینک های مشکوکی که از دوستان و آشنایان ارسال می شود کلیک نکنید، اما این احتمال وجود دارد که افراد به هر دلیل، از وعده اینترنت رایگان تا ثبت نام در یک سایت بخت آزمایی، باز هم روی لینک ها کلیک کرده و گرفتار حمله فیشینگ یا باج افزاری شوند، در بعضی موارد نیز درخواستی در خصوص کلیک کردن روی لینک اینطور ایمیل ها در قالب ایمیل های تبلیغاتی فرستاده می شود و گیرنده را برای باز کردن ایمیل ها تشویق می کند.
بنا بر این کارشناسان هشدار می دهند کاربران نباید هر ایمیلی که برایشان ارسال می شود را باز کنند، مخصوصاً اگر این ایمیل از فرستنده ی ناشناس ارسال شده باشد و اگر موضوع و متن ایمیل جذاب بود، باید با شک و تردید بیش تری به آن نگاه کنند. همین طور دانلود و بروزرسانی وصله های امنیتی از مهم ترین اقداماتی است که می توان برای مقابله با بدافزارها انجام داد.

منبع: