سواستفاده هکرها از سرویس گزارش خطای ویندوز در حمله بدون فایل جدید

محققان امنیتی تکنیک حمله بدون فایل (Fileless) جدیدی کشف کرده اند که با سواستفاده از سرویس گزارش خطا ویندوز (WER) سیستم قربانی را آلوده می‌کند.

به گزارش «ZDNet»، یک گروه هک ناشناخته تکنیک جدیدی برای هک ابداع کرده است که در آن بدافزار در فایل‌های اجرایی مبتنی بر سرویس گزارش خطای مایکروسافت ویندوز (Microsoft Windows Error Reporting) پنهان می‌شود.

به گفته محققان امنیتی شرکت Malwarebytes، این حمله Kraken جدید اولین بار در تاریخ ۲۷ شهریور ماه امسال کشف شده است. محققان امنیتی یک فایل ZIP حاوی فایل ورد با عنوان Compensation manual پیدا کرده‌اند که در ظاهر در رابطه با حقوق و دستمزد کارمندان است، اما به محض باز شدن یک ماکرو مخرب اجرا می‌کند.

این ماکرو از نسخه سفارشی ماژول CactusTorch VBA برای اجرای حمله بدون فایل از طریق shellcode استفاده می‌کند. CactusTorch قادر به بارگذاری یکی از فایل‌های Net. به نام Kraken.dll در حافظه بوده و آنرا از طریق VBScript اجرا می‌کند. این پیلود سپس shellcode را به درون فایل WerFault.exe تزریق می‌کند. این فایل اجرایی به سرویس WER متصل بوده و مایکروسافت از آن برای ردیابی و رفع خطاهای ویندوز استفاده می‌کند.

به گفته محققان shellcode پس از آلوده کردن فایل اجرایی، یک درخواست HTTP به یک دامنه به منظور دانلود بدافزارهای دیگر می‌فرستد. محققان هنوز نتوانسته‌اند گروه هکی که این حمله Kraken را ابداع کرده شناسایی کنند، اما به نشانه‌هایی دست پیدا کرده‌اند که به گروه ویتنامی APT32 یا OceanLotus ربط داده شده که برخی کارشناسان آن را مسئول حمله به سرورهای BMW و هیوندای در سال ۲۰۱۹ می‌دانند.