Όπως ανακαλύφθηκε από ερευνητές ασφαλείας, μία νέα καμπάνια phishing χρησιμοποιεί ειδικά δημιουργημένα αρχεία κειμένου CSV, με σκοπό να μολύνει τις συσκευές των χρηστών με το κακόβουλο λογισμικό BazarBackdoor.
Δείτε επίσης: Google Drive: Προειδοποιεί για ύποπτα αρχεία που χρησιμοποιούνται για phishing/malware
Τα CSV είναι αρχεία που περιέχουν γραμμές κειμένου με στήλες δεδομένων, που χωρίζονται με κόμματα. Σε πολλές περιπτώσεις, η πρώτη γραμμή κειμένου είναι η κεφαλίδα ή η περιγραφή για κάθε στήλη.
Η χρήση αρχείων CSV είναι μια δημοφιλής μέθοδος για την εξαγωγή δεδομένων από εφαρμογές, που μπορούν στη συνέχεια να εισαχθούν σε άλλα προγράμματα ως πηγή δεδομένων, είτε πρόκειται για Excel, βάση δεδομένων, διαχειριστές κωδικών πρόσβασης ή λογισμικό χρέωσης.
Δεδομένου ότι ένα CSV είναι απλώς κείμενο χωρίς εκτελέσιμο κώδικα, πολλοί άνθρωποι θεωρούν αυτούς τους τύπους αρχείων ακίνδυνους και μπορεί να μην είναι τόσο προσεκτικοί.
Ωστόσο, το Microsoft Excel υποστηρίζει μια δυνατότητα που ονομάζεται Dynamic Data Exchange (DDE), η οποία μπορεί να χρησιμοποιηθεί για την εκτέλεση εντολών, των οποίων η έξοδος εισάγεται στο ανοιχτό υπολογιστικό φύλλο, συμπεριλαμβανομένων των αρχείων CSV.
Δυστυχώς, οι κακόβουλοι χρήστες μπορούν επίσης να κάνουν κατάχρηση αυτής της δυνατότητας για να εκτελέσουν εντολές που κάνουν λήψη και εγκατάσταση κακόβουλου λογισμικού.
Μια νέα καμπάνια phishing που εντόπισε ο ερευνητής ασφάλειας Chris Campbell εγκαθιστά τον trojan BazarLoader/BazarBackdoor μέσω κακόβουλων αρχείων CSV.
Το BazarBackdoor είναι ένα κρυφό κακόβουλο λογισμικό backdoor, που δημιουργήθηκε από την ομάδα TrickBot για να παρέχει στους κακόβουλους χρήστες απομακρυσμένη πρόσβαση σε μια εσωτερική συσκευή που μπορεί να χρησιμοποιηθεί στη συνέχεια για περαιτέρω πλευρική κίνηση μέσα σε ένα δίκτυο.
Δείτε ακόμα: Επιθέσεις Log4j από κρατικούς hacker μέσω νέου PowerShell backdoor
Τα μηνύματα ηλεκτρονικού phishing, προσποιούνται ότι είναι “Συμβουλές εμβάσματος πληρωμής” με συνδέσμους σε απομακρυσμένους ιστότοπους που κάνουν λήψη ενός αρχείου CSV με ονόματα όπως “document-21966.csv“.
Το αρχείο φαίνεται σαν ένα τυπικό CSV, ωστόσο το astute reader θα παρατηρήσει ότι μία από τις στήλες δεδομένων περιέχει μια παράξενη κλήση WMIC που εκκινεί μια εντολή PowerShell.
Η εντολή είναι μια συνάρτηση DDE που αναγκάζει το Microsoft Excel, εάν δοθεί άδεια, να εκκινήσει το WMIC.exe και να εκτελέσει την παρεχόμενη εντολή PowerShell για την εισαγωγή δεδομένων στο ανοιχτό βιβλίο εργασίας.
Στη συγκεκριμένη περίπτωση, το DDE θα χρησιμοποιήσει το WMIC για να δημιουργήσει μια νέα διαδικασία PowerShell που ανοίγει μια απομακρυσμένη διεύθυνση URL που περιέχει μια άλλη εντολή PowerShell που στη συνέχεια εκτελείται.
Η απομακρυσμένη εντολή PowerShell, θα κατεβάσει ένα αρχείο picture.jpg και θα το αποθηκεύσει ως C:\Users\Public\87764675478.dll. Στη συνέχεια, αυτό το πρόγραμμα DLL εκτελείται χρησιμοποιώντας την εντολή rundll32.exe.
Το αρχείο DLL θα εγκαταστήσει το BazarLoader, αναπτύσσοντας τελικά το BazarBackdoor και άλλα ωφέλιμα φορτία στη συσκευή.
Ευτυχώς όταν αυτό το αρχείο CSV ανοίξει στο Excel, το πρόγραμμα θα εντοπίσει την κλήση DDE και θα ζητήσει από τον χρήστη να “ενεργοποιήσει την αυτόματη ενημέρωση των συνδέσμων”, η οποία επισημαίνεται ως προειδοποίηση ασφαλείας.
Δείτε επίσης: Κακόβουλα πρόσθετα Excel XLL προωθούν το κακόβουλο λογισμικό RedLine
Ακόμα κι αν ενεργοποιήσουν τη δυνατότητα, το Excel θα τους εμφανίσει ένα ακόμα μήνυμα που θα ζητά επιβεβαίωση για να επιτραπεί στο WMIC να αρχίσει να έχει πρόσβαση στα απομακρυσμένα δεδομένα. Εάν ο χρήστης επιβεβαιώσει και τα δύο μηνύματα, το Microsoft Excel θα εκκινήσει τα σενάρια PowerShell, το DLL θα ληφθεί και θα εκτελεστεί και το BazarBackdoor θα εγκατασταθεί στη συσκευή.
Η παραπάνω επίθεση δείχνει για ακόμα μία φορά, πόσο σημαντικό είναι να είμαστε προσεκτικοί με τα αρχεία που λαμβάνουμε, ακόμα κι όταν αυτά φαίνονται ακίνδυνα και να μην ανοίγουμε κανένα αρχείο που δεν γνωρίζουμε την ακριβή του προέλευση.
