În februarie 2022, Chris Campbell, cercetător malware, a observat o nouă campanie de phishing care utiliza fișiere text CSV (comma-separated values) special create pentru a infecta dispozitivele utilizatorilor cu troianul BazarBackdoor. În această postare pe blog, analizăm scenariul de atac și vă arătăm cum să preveniți acest atac sofisticat cu Deep CDR
(Content Disarm and Reconstruction).
Tactica de atac
În această campanie de phishing, infractorii cibernetici au utilizat un fișier CSV - un fișier text delimitat care stochează datele într-un format tabelar și utilizează o virgulă pentru a separa valorile. Acest tip de fișier este o modalitate populară de a face schimb de date simple între baze de date și aplicații. Deoarece un fișier CSV conține pur și simplu text fără cod executabil, o mulțime de utilizatori cred că este inofensiv și deschid rapid documentul fără precauție. Aceștia nu bănuiesc că acel fișier ar putea fi un vector de amenințare prin intermediul căruia malware-ul poate ajunge pe dispozitivele lor dacă fișierul CSV este deschis cu aplicații care acceptă schimbul dinamic de date (DDE), cum ar fi Microsoft Excel și OpenOffice Calc. Aceste aplicații pot executa formulele și funcțiile din fișierul CSV. Autorii amenințărilor abuzează de această funcție DDE pentru a executa comenzi arbitrare, care descarcă și instalează troianul BazarBackdoor, pentru a compromite și a obține acces complet la rețelele corporative de pe dispozitivul victimei neavizate. În comparație cu abordările populare de atac cu un macro malițios sau un cod VBA ascuns într-un fișier MS Office, amenințările ascunse în interiorul documentelor DDE sunt mai greu de detectat.
Examinând cu atenție fișierul, putem vedea o comandă =WmiC| (Windows Management Interface Command) conținută într-una din coloanele de date. Dacă victimele permit din greșeală ca această funcție DDE să ruleze, aceasta va crea o comandă PowerShell. Comanda va deschide apoi o adresă URL de la distanță pentru a descărca un BazarLoader și BazarBackdoor va fi instalat pe calculatorul victimei.
Cum vă ajută Deep CDR să vă apărați împotriva atacurilor DDE
Vă puteți proteja rețeaua împotriva acestor campanii sofisticate de phishing prin dezinfectarea fișierelor atașate în e-mailuri înainte ca acestea să ajungă la utilizatori. Având în vedere că fiecare fișier reprezintă o amenințare potențială și concentrându-se mai degrabă pe prevenire decât doar pe detectare, Deep CDR elimină tot conținutul activ din fișiere, menținând în același timp aceeași utilitate și funcționalitate a fișierelor. Deep CDR este una dintre cele șase tehnologii cheie din MetaDefender - platforma avansată de prevenire a amenințărilor OPSWATcare îmbrățișează cu adevărat filosofia Zero Trust.
Mai jos sunt detaliile de igienizare după ce am procesat fișierul CSV infectat cu MetaDefender Core (De asemenea, puteți consulta rezultatulscanării pe MetaDefender Cloud). Deep CDR a neutralizat formula din fișier, astfel încât nu a fost creată nicio comandă PowerShell. Astfel, malware-ul nu a putut fi descărcat.
În atacuri similare, autorii amenințărilor folosesc formule mai complexe pentru a se sustrage detectării. În mod normal, formulele din MS Excel încep cu un semn egal (=). Cu toate acestea, deoarece această aplicație acceptă și formule care încep cu un semn diferit, cum ar fi "=+"sau "@", în loc de doar "=", formula distructivă din fișierele CSV poate fi:
=+HYPERLINK("<malware URL>")
=-HYPERLINK("<malware URL>")
=@HYPERLINK("<malware URL>")
+@HYPERLINK("<malware URL>")
-@HYPERLINK("<malware URL>")
Aceste tipuri de formule pot eluda unele sisteme CDR obișnuite. Cu toate acestea, Deep CDR poate gestiona cu ușurință această tactică și produce fișiere curate, sigure pentru consum, neutralizând astfel amenințarea.
Aflați mai multe despre Deep CDR sau discutați cu un expert tehnic OPSWAT pentru a descoperi cele mai bune soluții de securitate pentru a vă proteja rețeaua corporativă și utilizatorii de atacurile de tip zero-day și malware-ul evaziv avansat.
