توزیع بدافزار Snake Keylogger از طریق پی‌دی‌اف‌های مخرب

درحالیکه مخرب‌ترین کمپین‌های ایمیل از داکیومنت‌های ورد برای پنهان کردن و توزیع بدافزار استفاده می‌کنند، کمپین تازه کشف‌شده‌ای از فایل پی‌دی‌اف مخرب و باگ آفیسی با قدمت 22 سال برای انتشار بدافزاری موسوم به Snake Keylogger استفاده می‌کند. با ما همراه باشید تا ساز و کار این بدافزار را خدمتتان توضیح دهیم.

هدف این کمپین که محققین  HP Wolf Security کشفش کردند فریب قربانیان با فایل پیوست پی‌دی‌اف است؛ فایلی که وانمود می‌کند اطلاعاتی در مورد پرداخت حواله دارد. اما در عوض بدافزار سارق داده را لود کرده برای جلوگیری از شناسایی شدن از تاکتیک‌های سخت طفره‌روی استفاده می‌کند. پاتریک شالپفر محقق HP Wolf Security چنین می‌گوید، «گرچه فرمت‌های آفیس بسیار محبوبند اما این کمپین نشان داد مهاجمین هنوز هم دارند برای آلوده کردن سیستم‌ها از داکیومنت‌های پی‌دی‌اف مسلح استفاده می‌کنند. بدافزار پی‌دی‌اف هنوز نمرده است».

به طور حتم مهاجمینی که از کمپین‌های ایمیل آلوده استفاده می‌کنند در طول دهه گذشته ترجیحشان این بوده که بدافزار را در فرمت‌های فایل آفیس مایکروسافت بسته‌بندی کنند؛ بخصوص ورد و اکسل. در سه ماهه‌ی اول سال 2022 به تنهایی حدود نیمی از بدافزارها (45 درصد) در فرمت‌های آفیس توسط HP Wolf Security متوقف شدند. محقق شالپفر در ادامه می‌گوید، «دلایل هم روشن است: کاربران با این نوع فایل‌ها آشنایی دارند، اپ‌هایی که آن‌ها را باز می‌کنند جامعند و مناسب فریب‌های مهندسی اجتماعی». هنوز گرچه این کمپین جدید از پی‌دی‌اف برای فریب فایل استفاده می‌کند اما در ادامه مایکروسافت ورد را برای ارسال پی‌لود نهایی –یعنی همان Snake Keylogger- به کار می‌بندد. Snake Keylogger بدافزاری است ساخت .NET که اولین بار اواخر 2020 نمود پیدا کرد و هدفش هم سرقت اطلاعات حساس از دستگاه قربانی بود؛ از جمله اطلاعات محرمانه ذخیره‌شده، ضربات کلید کیبورد قربانی، اسکرین‌شات‌هایی از اسکرین قربانی و داده‌های کلیپ‌بورد.

کمپین نامعمول

تیم HPW Wolf Security در تاریخ 23 مارس متوجه کمپین تهدید تازه‌ای مبتنی بر پی‌دی‌اف شد. این زنجیره نامعمول آلودگی نه تنها شامل پی‌دی‌اف می‌شد بلکه ترفندهای طفره‌روی از شناسایی نامعمولی هم در آن بکار گرفته می‌شد؛ مانند جاگذاری فایل‌های مخرب، لود اکسپلویت‌های از راه دور میزبانی‌شده و رمزگذاری شل‌کد (کد پوسته). مهاجمین با ایمیل‌هایی شامل داکیومنت پی‌دی‌اف به نام REMMITANCE INVOICE.pdf در قالب پیوست قربانیان را هدف قرار می‌دهند. اگر کسی فایل را باز کند ادوبی ریدر کاربر را مجبور می‌کند فایل .docx را با نامی عجیب باز کنند. مهاجمین مخفیانه داکیومنت ورد را نامگذاری می‌کنند. با این حال طوری این کار انجام می‌شود که گویی این اسم فایل بخشی است از درخواست ادوبی‌ریدر. فایل .docx در قالب شیء  EmbeddedFile داخل پی‌دی‌اف که  اگر روی ورد مایکروسافت کلیک شود باز می‌شود ذخیره می‌شود. اگر Protected View غیرفعال باشد، ورد از سرور وب که بعداً در بطن داکیومنت بازشده اجرا می‌شود فایل فرمت .rtf را دانلود می‌کند. محققین محتوای .rtf را که فایل آفیس بازشده‌ی XML  است از حالت‌ زیپ‌شده برداشتند و متوجه یوآرالی شدند پنهان در فایل document.xml.rels که به گفته آن‌ها دامنه‌ قانونی در داکیومنت‌های آفیس نداشته است.

اکسپلویت باگی به قدمت 17 سال

اتصال به این یوآرال به ریدایرکت منجر می‌شود و بعدش دانلود داکیومنت RTF به نام f_document_shp.doc. این داکیومنت حاوی دو شیء OLE با ساختار نادرست بود که نشان داد کد پوسته داشته از  CVE-2017-11882 سؤاستفاده می‌کرده. این آسیب‌پذیری به گفته محققین یک RCE در Equation Editor بوده است که بیش از 4 سال قدمت داشته. Equation Editor در واقع اپی است که در بسته آفیس به طور پیش‌فرض نصب است و برای درج و ادیت معادلات پیچیده بعنوان آیتم‌های OLE[1] در داکیومنت‌های مایکروسافت ورد استفاده می‌شود. با این حال چنین به نظر می‌رسد که این باگ که مهاجمین توسط آن کمپین خود را راه‌انداختند همانی است که مایکروسافت بیش از چهار سال پیش پچ می‌کرده- از سال 2017 با دقیق‌تر 17 سال پیش که می‌شود گفت قدمتی 22 سال! به عنوان اقدام آخر حمله محققین شل‌کدی را ذخیره‌شده در ساختار OLENativeStream پیدا کردند؛ شل کدی در انتهای اشیاء  OLE. این کد در نهایت متن رمزی را رمزگشایی کرده که کاشف بعمل می‌آید چیزی بیش از یک شل‌کد بوده است. سپس برای منجر شدن به فایل قابل‌اجرایی به نام  fresh.exe به کار گرفته می‌شود و آن فایل Snake Keylogger را لود می‌کند.