محققان امنیتی مایکروسافت در روز جمعه بعد از ظهر در مورد یک موج اسپم در حال انجام است که ایمیل هایی را که حاوی اسناد خرابکارانه RTF هستند و کاربران را با نرم افزارهای مخرب بدون تعامل کاربر آلوده می کنند، زمانی که کاربران اسناد RTF را باز می کنند، منتشر می کنند.
مایکروسافت اعلام کرد که به نظر می رسد موج اسپم برای کاربران اروپایی هدف قرار گرفته است، زیرا ایمیل ها در زبان های مختلف اروپایی ارسال می شوند.
تیم مایکروسافت امنیت اطلاعات گفت: در کمپین جدید، فایل RTF بارگیری و اجرای چندین اسکریپت از انواع مختلف (VBScript، PowerShell، PHP، دیگران) برای بارگیری بارگیری است.
مایکروسافت گفت که نسخه نهایی یک تروجان پشتی است. خوشبختانه، سرور فرمان و کنترل تروجان به نظر می رسد تا جمعه، زمانی که مایکروسافت هشدار امنیتی خود را صادر کرد، کاهش یافته است.
با این حال، همیشه خطر کمپین های آتی وجود دارد که ممکن است یک تاکتیک مشابه را برای انتشار یک نسخه جدید از تروجان backdoor که به یک سرور کار متصل است، بسوزاند و اجازه می دهد که کلاهبرداران دسترسی مستقیم به رایانه های آلوده داشته باشند.
خبر خوب این است که کاربران می توانند از این مبارزات اسپم کاملا ایمن باشند. ابتدا ویروس آلودگی به یک آسیب پذیری Office قدیمی متکی است که مایکروسافت در ماه نوامبر سال 2017 از آن رد شد.
کاربرانی که به روز رسانی امنیتی سه ماه ماه نوامبر 2017 را اعمال کردند، باید ایمن باشند.
آسیب پذیری به عنوان CVE-2017-11882 ردیابی می شود. این یک نام کد برای یک آسیب پذیری در یک نسخه قدیمی تر از بخش ویرایشگر معادله است که با نصب Office عرضه می شود و برای اهداف سازگاری علاوه بر مؤلفه ویرایشگر معادله جدید مایکروسافت نیز استفاده می شود.
در سال 2017، محققان امنیتی از Embedi یک اشکال را در این اجزای قدیمی کشف کردند که باعث شد بازیگران تهدید برای اجرای کد در دستگاه های کاربران بدون هیچ گونه تعامل با کاربر هر بار که یک فایل آفیس سلاح دار که شامل یک سوءاستفاده خاص بود را باز کند.
از آنجا که مایکروسافت ظاهرا کد منبع این مولفه قدیمی را از دست داده و بعد از کشف یک اشکال دوم معادله ویرایشگر در سال 2018، مایکروسافت تصمیم گرفت که بخش مولتی مدیا Equation را در ژانویه 2018 به طور کامل حذف کند.
با این حال، شناخته شده است که بسیاری از کاربران و شرکت ها اغلب شکست خورده یا فراموش کرده اند به روز رسانی امنیتی به موقع نصب کنید.
اپراتورهای مخرب بر این سوء استفاده قرار گرفته اند و از زمان پایان سال 2017 آن را تسلیم کرده اند و می دانند که زمان زیادی را برای استفاده از کاربران فراموش شده که با به روز رسانی های امنیتی مزاحم می شوند، به سر می برد.
و آنها انجام دادند آنها بارها و بارها بارها و بارها از بهره برداری استفاده می کردند. گزارش آیندهی ضبط شده CVE-2017-11882 را بعنوان آسیب پذیرترین سومین مورد از سال 2018 رتبه بندی کرد و گزارش مشابه کسپرسکی نیز در بالای لیست قرار داشت.
خود سوءاستفاده به عنوان یک غافلگیر کننده نیست، بلکه بر خلاف بسیاری دیگر از سوء استفاده های آفیس، نیازی به تعامل با کاربر نیست، که این کار نیاز به کاربران را برای فعال کردن ماکرو یا غیرفعال کردن ویژگی های مختلف امنیتی از طریق پنجره ها فراهم می کند.
در حالی که مایکروسافت در این هفته هشدار داده است که CVE-2017-11882 برای مبارزات جاسوسی استفاده می شود، بهره برداری نیز بسیار محبوب است که گروه های آموزش هک هکرها درگیر حملات بسیار هدفمند مانند جاسوسی اقتصادی و جمع آوری اطلاعات هستند.
به عنوان مثال، این هفته، در دو گزارش مختلف [1، 2]، FireEye گفت CVE-2017-11882 در میان گروه های جاسوسی مختلف چینی چینی مشترک بود.
واقعیت این است که چندین گروه هکینگ حمایت مالی از دولت چینی از این بهره برداری استفاده می کنند، نشان دهنده کارآیی آن و دلیل دیگری که کاربران باید از آن آگاه باشند و تکه های لازم را اعمال کنند.