این بدافزار که از طریق ایمیل فرستاده و تکثیر میشود به سیستمهایی که آفیس را آپدیت نکردهاند صدمه میزند.
کاربران کشورهای ویتنام، هند، چین، تایوان و احتمالا کشورهای دیگر آسیا هدف حمله بدافزاری قرار گرفتند که از اسناد Word مایکروسافت استفاده میکند تا برنامه راه نفوذ مخفی را نصب کند و به مهاجمان اجازه دهد تا اطلاعات کاربران را به سرقت ببرند.
به گزارش ایتنا از ایسنا، در این حملات هدفمند از اسناد Word دستکاری شده استفاده میشود و از طریق پست الکترونیکی برای قربانیان مورد نظر فرستاده میشود. این اسناد از آسیبپذیریهای شناخته شده سوء استفاده میکند که سیستمهایی را تحت تاثیر قرار میدهد که مایکروسافت آفیس را به روز رسانی نکردهاند.
زمانی که این اسناد مخرب باز شوند، دو سند از آسیب پذیری های اجرای کد از راه دور در مولفه کنترلی ویندوز سوء استفاده می کند. این آسیب پذیریها با عنوان CVE-۲۰۱۲-۰۱۵۸ و CVE-۲۰۱۲-۱۸۵۶ شناخته میشوند و مایکروسافت آفیس نسخههای ۲۰۰۳، ۲۰۰۷ و ۲۰۱۰ را تحت تاثیر قرار میدهند. در سال ۲۰۱۲ شرکت مایکروسافت این آسیبپذیریها را به عنوان بخشی از بولتنهای امنیتی MS۱۲-۰۲۷ و MS۱۲-۰۶۰ اصلاح کرد.
اسناد مخرب یک برنامه راه نفوذ مخفی را نصب میکند که محققان Rapid۷ آن را KeyBoy نامیدند. این بدافزار یک سرویس جدید ویندوزی را ثبت میکند که MdAdum نامیده می شود و میتواند یک فایل DLL مخرب را با نام CREDRIVER.dll بارگذاری کند.
بنا بر اعلام مرکز ماهر، بدافزار KeyBoy اعتبارنامههای ذخیره شده در اینترنت اکسپلورر و موزیلا فایرفاکس را به سرقت میبرد و یک مولفه keylogger را نصب میکند که میتواند اعتبارنامههای ذخیره شده در گوگل کروم را نیز به سرقت ببرد.
همچنین این راه نفوذ مخفی به مهاجمان اجازه میدهد تا اطلاعات کامپیوترهای هدف حمله، فهرست دایرکتوریها را بدست آورند و فایل های دلخواه را دانلود یا آپلود کند.
علاوه بر این، این بدافزار میتواند یک پوسته فرمان (command shell) ویندوز را بر روی سیستم آلوده باز کند و بدین ترتیب دستورات ویندوز را از راه دور بر روی آن سیستم اجرا کند.