هک والت و سرقت رمزارز و اطلاعات محرمانه با فایل ورد

در این مطلب روش کار یک بدافزار Macro به اسم dmechant که در قالب فایل‌های آفیس مایکروسافت پنهان می‌شود و اطلاعات والت رمزارز و اطلاعات محرمانه قربانی را برای مهاجم ارسال می‌کند، بطور مختصر شرح داده شده است.

 

طرز کار یک بدافزار ماکرو (Macro) 

ابتدا ایمیلی با مضمون یادآوری سفارش خرید، حاوی یک فایل ورد برای کاربران فرستاده و از آنها خواسته می‌شود که برای مرور و تایید موارد درج شده در فایل، آن را باز کنند و سپس ایمیل تایید را ارسال نمایند.

 

 

این فایل ورد حاوی بدافزار Macro است و پس از باز شدن، در صورتی که کاربر بر گزینه‌ی Enable editing کلیک کند، بدافزار مذکور را بر سیستم قربانی نصب و اجرا می‌نماید.

 

 

بدافزار Macro دارای یک تابع VBA بنام ()Document_Open است و زمانی که فایل باز می‌شود، بطور خودکار فراخوانی می‌شود. این بدافزار سپس توابع دیگری را جهت استخراج یک کد جاوااسکریپت به فایل rtbdxsdcb.js در فولدر %temp% فراخوانی می‌کند و در نهایت این فایل JS را برای اتمام کار بدافزار ماکرو اجرا می‌کند.

 

این فایل جاوااسکریپت، URL زیر را درخواست می‌کند: 

hxxps[:]//cdn[.]discordapp[.]com/attachments/789415918744764447/857131714521202688/blessed[.]exe

که فایلی قابل اجرا را در %Temp% دانلود می‌کند و آن را به عنوان erbxcb.exe که پی‌لود بدافزار است ذخیره می‌کند و بعدتر یک آبجکت WScript.Shell جهت بالا آمدن فایل اجرایی بر سیستم آلوده می‌سازد. این فایل در قالب یک pdf مخفی می‌شود.

 

 

در نهایت فایل PE رمزگشایی شده توسط تابعی که فراخوانی کرده، اطلاعات سیستم قربانی مانند زمان جاری سیستم، نسخه‌ی ویندوز، شناسه، نام کامپیوتر و مواردی دیگر را جمع‌آوری و به همراه دیگر داده‌های سرقت شده، برای مهاجم ارسال می‌شود.

 

 

والت های رمزارز مورد نفوذ بدافزار ماکرو

پس از آنکه اطلاعات سیستم کاربر جمع‌آوری شد، والت رمزارز کاربر شناسایی و اطلاعاتی نظیر کلید شخصی، آدرس کیف پول و برخی اطلاعات حساس دیگر، در قالب یک فایل زیپ برای مهاجم ارسال می‌گردد.

والت‌هایی که این بدافزار آنها را مورد حمله قرار می‌دهد عبارتند از:

> Zcash
> Armory
> Bytecoin
> Jaxx Liberty
> Exodus
> Ethereum
> Electrum
> Atomic
> Guarda
> Coinomi

 

این بدافزار که آن را dmechant نامیده‌اند، اطلاعات شخصی و رمزعبورهای کاربر را، از طیف گسترده‌ای از نرم‌افزارها و مرورگرها می‌دزدد و برای مهاجم ارسال می‌کند.

 

مرورگرهای مورد نفوذ بدافزار ماکرو

"Chrome","Opera","Yandex","360 Browser","Comodo Dragon","CoolNovo","SRWare Iron","Torch Browser","Brave Browser","Iridium Browser","7Star", "Amigo","CentBrowser","Chedot","CocCoc","Elements Browser","Epic Privacy Browser","Kometa","Orbitum","Sputnik","uCozMedia","Vivaldi","Sleipnir 6", "Citrio","Coowon","Liebao Browser","QIP Surf", "Edge Chromium"

برنامه‌های مورد نفوذ بدافزار ماکرو 

Outlook, CoreFTP, FileZilla, NordVPN, FoxMail, Thunderbird, and similar browsers such as Firefox, Waterfox, K-Meleon, Cyberfox, BlackHawk

 

ارسال اطلاعات والت رمز ارز به مهاجم:

ارسال اطلاعات شخصی و پسوردهای قربانی به مهاجم:

 

غیرفعال کردن بدافزار ماکرو

برای غیرفعال کردن بدافزار Macro، پس از باز کردن فایل، به منوی بالا سمت راست صفحه مراجعه و مسیر زیر را دنبال کنید:

File > Options > Trust Center > Macro Settings > Disable all macros with notification

 

منبع