تروجان‌های بانکی در قالب فایل‌های اکسل
calendar13:50 1400/5/16
eye676
spotشرکت بیت‌بان

تروجان‌های بانکی در قالب فایل‌های اکسل

مدتهاست که برخی بدافزارها، با استفاده از فایل‌های اکسل اقدام به آلوده کردن سیستم‌ها می‌کنند اما، با پیشرفت تکنولوژی‌های امنیتی، اکنون توسط بسیاری از آنتی‌ویروس‌ها قابل شناسایی هستند.

از این رو هکرها با استفاده از فایل‌های XLSM که قابلیت پشتیبانی از ماکروهای VBA را دارند، به جای فایل‌های XLSX که پیشتر از آنها استفاده می‌شد، به شکل زیر به سیستم کاربران نفوذ می‌کنند.

هک والت و سرقت رمزارز و اطلاعات محرمانه با فایل ورد

بدافزار XLSM اکسل چگونه کار می‌کند؟

فایل XLSM در پیوست ایمیل یا در قالب یک لینک برای کاربر ارسال می‌شود، و پس از دانلود و باز کردن آن توسط کاربر، در صورت کلیک بر Enable editing و بعد از آن Enable Content، ماکروها بصورت خودکار بر سیستم وی اجرا می‌شوند.

مزیت فایل‌های XLSM به XLSX که پیشتر از آنها استفاده می‌شد، پشتیبانی از ماکروهای VBA است، که با دسترسی به API ویندوز، می‌تواند با ساخت ابزارها، فهرست‌ها، دیالوگ باکس‌ها و فرم‌ها، رابط کاربری را تغییر دهد.

به بیانی دقیق‌تر، فایل XLSM ابتدا پی‌لود DLL را دانلود و سپس توسط rundll32.exe آن را اجرا می‌کند.

  سرقت داده‌ها و پسوردها توسط فایل‌های pdf 

شناسه بدافزار XLSM که مورد بررسی قرار گرفته:

91a1ba70132139c99efd73ca21c4721927a213bcd529c87e908a9fdd71570f1e

این بدافزار اکسل کدام تروجان‌ها را بر سیستم قربانی دانلود و نصب می‌کند؟

این بدافزار، بدافزارهای دیگری از جمله موارد زیر را دانلود و بر دستگاه قربانی نصب می‌کند:

> ZLoader
> Trickbot
> Qakbot
> Ursnif
> IcedID

بدافزار بسیار پیشرفته TrickBot با دسترسی کامل به سیستم قربانی

گفتنی است که این بدافزارها اکثرا تروجان‌های بانکی هستند و اطلاعات حساب و کارت بانکی قربانی را سرقت می‌کنند.

فایل XLSM بعد از باز شدن

بعد از آنکه کاربر بر Enable editing و بعد از آن Enable Content کلیک می‌کند، صفحه‌ای باز می‌شود که بنظر خالی است، اما موارد زیر در آن قرار گرفته، که بعد از تغییر رنگ فونت، نمایان می‌گردد.

این شیت‌های مخفی شده، شامل رشته‌هایی مخرب هستند که به روشی مبهم‌سازی شده‌اند. 

در نهایت وقتی کاربر بر Enable Content کلیک می‌کند، بعد از آنکه فرمول هر شیت اجرا می‌شود، اجرای اصلی از Auto_Open آغاز می‌شود. رشته ابهام زدایی شده نهایی در زیر نشان داده شده است:

 

در اینجا از URLDownloadToFIleA API برای دانلود پی‌لود و از رشته «JJCCBB» برای مشخص کردن نوع داده‌ها جهت صدا کردن API استفاده می‌شود. در اینجا URL های متعددی وجود دارد و از طریق یکی از آنها، پی‌لود DLL دانلود و بصورت lertio.cersw//... ذخیره می‌شود. سپس این پی‌لود با استفاده از rundll32 اجرا می‌شود.

منبع: mcafee

#ویندوز  #پسورد  #بدافزار  #تروجان  

اشتراک گذاری
پربازدیدترین‌ها