توزیع درب پشتی ServHelper از طریق فایل پیوست اکسل

بهره برداری هکر‌ها از Macro Dropper Excel 4.0 برای توزیع درب پشتی ServHelper

مهاجمین دیجیتالی (هکری) با استفاده از یک ماکرو دراپر (macro dropper) اکسل 4.0، کاربران را به نوع جدیدی از درب پشتی ServHelper آلوده می‌کنند.

در تابستان سال 2019، محققان Deep Instinct یک حمله جدید را که توسط گروه تهدید دیجیتال TA505 آغاز شده بود، کشف کردند. این عملیات با تلاش برای فریب کاربران در باز کردن یک سند پیوست Excel آغاز شد.

بعد از اعتراض یکی از کاربران، گروه هکری از یک ماکرو دراپر اکسل 4.0، مکانیسمی که توسط مایکروسافت آفیس پشتیبانی می‌شود، برای اجرای یک ماکرو استفاده کرد. این فرآیند به نوبه خود باعث شد تا این کمپین هکری، msiexec.exe را که یک مسئول اجرایی برای دانلود پی‌لودpaytext ServHelper  است، فراخوانی کند.

گروه TA505 حداقل از نوامبر سال 2018، در حال توزیع درب پشتی ServHelper است. در آن زمان، Proofpoint‌ دو نسخه از درب پشتی را مشاهده کرد. اولی روی عملکرد از راه دور دسکتاپ متمرکز بود، در حالی که دومی تروجان دسترسی از راه دور FlawedGrace و سایر بدافزارها را دانلود می‌کرد.

در این حمله، پی‌لود ServHelper یک نصب کننده NSIS بود که توسط یک گواهی معتبر تایید شده بود. در این مرحله، گروه هکری‌ از undll32.exe  استفاده کردند تا عملکرد صادر شده DLL را “sega” بنامد و بتواند یک اسکریپت پاورشل را برای اهداف شناسایی ارسال و اجرا کند. افراد پشت این حمله می‌توانند از ‌ServHelper‌ برای اجرای شِل‌ها و بارگیری پرونده‌های DLL استفاده کنند.

Deep Instinct گفت که استفاده گروه TA505 از ماکرو دراپر اکسل 4.0 و امضاهای معتبر در این کمپین به ServHelper کمک کرده تا عملکردی پنهانی و مخفیانه داشته باشند.

خروج از نسخه موبایل