Шкідливі текстові файли CSV, які використовуються для встановлення шкідливого програмного забезпечення BazarBackdoor

Нова фішингова кампанія використовує спеціально створені текстові файли CSV для зараження пристроїв користувачів шкідливим програмним забезпеченням BazarBackdoor.

Файл значень, розділених комами (CSV) – це текстовий файл, що містить рядки тексту зі стовпцями даних, розділених комами. У багатьох випадках перший рядок тексту є заголовком або описом для кожного стовпця.

Наприклад, дуже простий текстовий файл CSV, що містить столиці деяких штатів США, показаний нижче. Зверніть увагу на те, як коми відокремлюють кожен стовпець даних (штати та великі літери).

Держава, Столиця
Алабама, Монтгомері
Аляска, Джуно
Арізона, Фенікс
Арканзас, Літл-Рок
Каліфорнія, Сакраменто
Колорадо, Денвер
Коннектикут, Хартфорд
Делавер, Дувр
Флорида, Таллахассі

Як ви бачите вище, файл не містить нічого, крім тексту, але при завантаженні в Excel дані відображаються з кожним рядком у окремому рядку, а дані розділяються комами на стовпці даних.

Використання файлів CSV – популярний метод експорту даних із програм, які потім можна імпортувати в інші програми як джерело даних, будь то Excel, база даних, менеджери паролів або програмне забезпечення для виставлення рахунків.

Оскільки CSV — це просто текст без виконуваного коду, багато людей вважають ці типи файлів нешкідливими і можуть бути більш безтурботними, відкриваючи їх.

Однак Microsoft Excel підтримує функцію під назвою Dynamic Data Exchange (DDE), яку можна використовувати для виконання команд, вихідні дані яких вводяться у відкриту електронну таблицю, включаючи файли CSV.

На жаль, суб’єкти загроз також можуть зловживати цією функцією для виконання команд, які завантажують та встановлюють шкідливе програмне забезпечення на нічого не підозрюючих жертв.

Файл CSV використовує DDE для встановлення BazarBackdoor.
Нова фішингова кампанія, помічена дослідником безпеки Крісом Кемпбеллом, встановлює троян BazarLoader/BazarBackdoor через шкідливі файли CSV.

BazarBackdoor — це приховане зловмисне програмне забезпечення, створене групою TrickBot для надання суб’єктам загроз віддаленого доступа до внутрішнього пристрою, який можна використовувати як плацдарм для подальшого бічного переміщення всередині мережі.

Фішингові електронні листи прикидаються як «Порада щодо переказу платежів» із посиланнями на віддалені сайти, які завантажують файл CSV з іменами, схожими на «document-21966.csv».

Як і всі файли CSV, файл document-21966.csv є лише текстовим файлом, зі стовпцями даних, розділених комами.

Проте розумний читач помітить, що один із стовпців даних містить дивний виклик WMIC в одному зі стовпців даних, який запускає команду PowerShell.

Це =WmiC| Команда — це функція DDE, яка змушує Microsoft Excel, якщо надано дозвіл, запускати WMIC.exe і виконувати надану команду PowerShell для введення даних у відкриту книгу.

У цьому конкретному випадку DDE використовуватиме WMIC для створення нового процесу PowerShell, який відкриває віддалену URL-адресу, що містить іншу команду PowerShell, яка потім виконується.

Команда віддаленого сценарію PowerShell, показана нижче, завантажить файл picture.jpg і збереже його як C:\Users\Public\87764675478.dll. Ця програма DLL потім виконується за допомогою команди rundll32.exe.
Файл DLL встановить BazarLoader, зрештою розгорнувши BazarBackdoor та інші корисні навантаження на пристрої.

На щастя, коли цей файл CSV відкривається в Excel, програма помітить виклик DDE і запропонує користувачеві «увімкнути автоматичне оновлення посилань», що позначається як проблема безпеки.

Навіть якщо вони ввімкнуть цю функцію, Excel покаже їм іншу підказку, яка підтверджує, чи слід дозволити WMIC почати доступ до віддалених даних.

Якщо користувач підтвердить обидва запити, Microsoft Excel запустить сценарії PowerShell, DLL буде завантажено та виконано, а BazarBackdoor буде встановлено на пристрої.

Хоча ця загроза вимагає від користувачів підтвердити, що функція DDE має бути дозволена, генеральний директор AdvIntel Віталій Кремез сказав BleepingComputer, що люди влюбляються в триваючу фішингову атаку.

«Грунтуючись на нашій видимості телеметрії BazarBackdoor, ми спостерігали 102 фактичні корпоративні та державні жертви за останні два дні від цієї фішингової кампанії», – пояснив Кремез в онлайн-обговоренні.

Після встановлення BazarBackdoor він надасть суб’єктам загроз доступ до корпоративної мережі, яку атаки використовуватимуть для бічного поширення по всій мережі.

Зрештою, це може призвести до подальшого зараження шкідливим програмним забезпеченням, крадіжки даних і розгортання програм-вимагачів.

Істочник: www.bleepingcomputer.com

Дати оцінку данній статті

Про автора

Додати коментар

Недавні записи