האקרים משתמשים בפגיעויות ישנות של Microsoft Office כדי להפיץ FELIXROOT ולגנוב קבצים

תוכנה זדונית חדשה הופיעה והיא משתמשת בפגיעויות של Microsoft Office כדי לגשת ולגנוב נתונים. המכונה Felixroot, התוכנה הזדונית מועברת לאנשים פרטיים באוקראינה באמצעות דוא"ל דיוג ממוגן בנשק הטוענת כי מכילה מידע סמינר בנושא הגנת הסביבה.

הדלת האחורית התגלתה עוד בשנת 2017 אך השתתקה במשך כמה חודשים. הניצול החדש זוהה על ידי חוקרים ב-FireEye שיצרו את החיבור לתוכנה הזדונית הישנה ששימשה באוקראינה בשנה שעברה. התוכנה הזדונית מנצלת שתיים מפגיעות של Microsoft Office, כלומר, CVE-2017-0199 ו CVE-2017-11882. התוכנה הזדונית מופצת באמצעות קובץ בשם "Seminar.rtf".

ברגע שנכנס, הקובץ מפיל קובץ בינארי מוטבע ל-%temp% המשמש להפעלת ה-FELIXROOT dropper. לאחר מכן הטפטפת תיצור שני קבצים, קובץ LNK שמצביע על %system32%\rundll32.exe, ורכיב הטעינה FELIXROOT. לאחר מכן קובץ LNK יבצע את רכיב הטעינה של FELIXROOT ואת רכיב הדלת האחורית אשר מוצפן לחלוטין באמצעות הצפנה מותאמת אישית המשתמשת ב-XOR עם מפתח של 4 בתים. לאחר ההתקנה בזיכרון, הוא יישן במשך 10 דקות לפני שיחפש את הפקודה שתופעל ויתחבר לשרת C&C, שאליו נשלחים נתונים גנובים בסתר. לפי FireEye, התוכנה הזדונית משתמשת ב-API של Windows כדי לקבל את שם המחשב, שם המשתמש, המספר הסידורי של הכרך, גרסת Windows, ארכיטקטורת המעבד ושני ערכים נוספים.

ברגע שהנתונים נגנבים, FELIXROOT מפסיק את הביצוע ומוחק את טביעת הרגל הדיגיטלית מהמחשב של הקורבן. התוכנה הזדונית נועדה לוודא שאף אחד לא יוכל לעקוב אחריה לקבוצה שמאחוריה. FireEye אמרו שהם עדיין עובדים על התוכנה הזדונית ומכיוון שמדובר בחקירה מתמשכת, FireEye לא חשפה עדיין פרטים ספציפיים.

עם זאת, החדשות הטובות הן שמיקרוסופט פרסמה תיקונים בשנה שעברה, כך שהדרך הטובה ביותר להגן על נתונים היא לשמור הכל מעודכן. למרבה הצער, הארגונים אינם נוהגים להחיל תיקונים בזמן, מה שמאפשר לתוכנה הזדונית לעבוד ואף להתפשט. מיקרוסופט הזהירה את כולם מספר פעמים מפני הסכנות שבאי עדכון הכל. עם זאת, מעטים מאוד מורידים ומתקינים עדכוני אבטחה בזמן וחברות בדרך כלל מאחרות להחיל תיקונים שגורמים לפריצות או התקפות תוכנות זדוניות.

ויה: האקרים של GB