به تازگی حملات بدافزاری جدیدی کشف شده است که با توزیع در پشتی قدرتمند FELIXROOT، از آسیبپذیریهای Microsoft Office بهره می گیرد تا سیستم های ویندوزی قربانیان را آلوده کند.
حملات FELIXROOT برای اولین بار در سپتامبر ۲۰۱۷ کشف شد که از طریق اسناد مخرب در قالب فایلهای مربوط به یک بانک اوکراینی توزیع می شود. اسناد به یک کد مایکرو مجهز هستند که در پشتی را از سرور کنترل و دستور (C&C) دانلود می کند. اسناد از آسیبپذیری های CVE-۲۰۱۷-۰۱۹۹ و CVE-۲۰۱۷-۱۱۸۸۲ مربوط به Microsoft Office سوء استفاده می کنند و بدافزار از طریق اسنادی با زبان روسی منتشر میشود.
بدافزار در سند مخربی با نام Seminar.rtf توزیع می شود که حاوی فایل binary جاسازی شده در خود است که در آدرس %temp% قرار داده می شود که برای اجرای dropper در پشتی FELIXROOT استفاده می شود. این dropper دو فایل را ایجاد می کند، یک فایل LNK که به آدرس %system۳۲%\rundll۳۲.exe اشاره می کند و دیگری مولفه FELIXROOT loader.
در پشتی FELIXROOT از پروتکلهای HTTP و HTTPS POST برای برقراری ارتباط با سرور C&C استفاده میکند و پس از دریافت اطلاعات از سیستم قربانی، دادهها بصورت رمزگذاری شده و مرتب شده در ساختاری سفارشی به شبکه ارسال می شوند. طبق اعلام FireEye، بدافزار نام رایانه، نام کاربر، volume serial number، ویرایش ویندوز، معماری پردازنده و دو مقدار اضافی دیگر را به سرقت می برد و آنها را از طریق رمزگذاری AES و با استفاده از پروتکل های HTTP و HTTPS به سرور C&C منتقل می کند. پس از اجرای کامل بدافزار و سرقت اطلاعات ماشین آلوده، FELIXROOT متوقف می شود و آثار خود را نیز از ماشین آلوده پاکسازی می کند.
IoCهای بدافزار در جدول زیر آورده شده است.
منبع: