بدافزارهای مبتنی بر ماکرو در حال بازگشت هستند

در چند ماه گذشته، گروه مختلفی از هکرها بدافزارهایی را با کمک ماکروهای آلوده در اسناد آفیس توزیع کرده‌اند تا شیوه‌ای قدیمی و مربوط به یک دهه قبل را دوباره زنده کنند. ماکروها اسکریپت‌هایی هستند که یک سری دستورات متوالی را به‌طور خودکار برای اجرای برخی کارها در انواع مختلفی از برنامه‌های کاربردی تعبیه می‌کنند. برنامه‌های ورد و اکسل آفیس مایکروسافت از ماکروهای نوشته شده با زبان ویژوال بیسیک برای برنامه‌های کاربری (VBA) پشتیبانی می‌کنند. اکنون، برخی فعالیت‌های مخرب برای نصب بدافزارهای آلوده از این ماکروها استفاده می‌کنند. در گذشته، هم‌زمان با ورود ویندوز XP در سال 2001، ماکروهای جاسازی شده در فایل‌ها باید برای اجرا مجوزهایی از کاربر می‌گرفتند. این مجوزها با سؤال و تأیید از سوی کاربر روبه‌رو بود. همین روال موجب شد هکرها ماکروها را کنار بگذارند و نتوانند با این روش بدافزارها و ویروس‌ها را توزیع و منتشر کنند. اکنون به‌نظر می‌رسد ماکروها با ترکیب روش‌های مهندسی اجتماعی می‌توانند به درون کامپیوترها نفوذ کنند و مؤثر واقع شوند. یکی از محققان امنیتی مایکروسافت در وبلاگ خود می‌نویسد: «MMPC یا مرکز مقابله با بدافزارهای مایکروسافت اخیراً مشاهده کرده است تعداد تهدیدهای مبتنی بر ماکروها برای گسترش کدهای مخرب افزایش یافته است.» 
دو تهدید به نام‌های Adnel و Tarbir اواسط دسامبر گذشته کاربران دو کشور امریکا و انگلستان را به‌طور ویژه مورد حمله قرار داده بودند. هر دو این تهدیدها از طریق ماکروهای جاسازی شده در فایل‌های با پسوند doc و xls توزیع شدند. این اسناد نیز از طریق هرزنامه‌ها و تحت عنوان فاکتور، رسید تحویل کالا، تأییدیه انتقال، صورت‌حساب و اعلامیه‌های تبلیغ لباس و ارسال آن‌ها در اینترنت منتشر می‌شوند. این محقق مایکروسافت می‌گوید: «وقتی این ایمیل‌ها باز می‌شوند، قربانی مرحله به مرحله راهنمایی می‌شود تا به صورت پنهانی یک ماکرو تأیید نشده را روی سیستم اجرا کند.» ترکیبی از اسناد راهنما، هرزنامه‌ها با وعده‌های مالی، نام فایل‌های فریبنده و موضوعات عمومی می‌توانند کاربر را متقاعد کنند روی گزینه‌هایی کلیک و دستوراتی را اجرا کند که در پشت پرده برای نصب یک ماکرو تعبیه شده‌اند. بدافزار دیگری که ماکروها توزیع می‌کنند، Dridex نام دارد و کاربران بانک‌های آنلاین را هدف قرار داده است. به گزارش مؤسسه Trustwave، این بدافزار در ماه نوامبر به‌اوج فعالیت خود رسید و از طریق پانزده هزار سند آلوده به ماکروهای مخرب در روز توزیع می‌شد. این اسناد به‌صورت فاکتورهایی از شرکت‌های نرم‌افزاری، خرده‌فروشان آنلاین، مؤسسه‌های بانکی و شرکت‌های حمل و نقل مطرح برای کاربران قربانی ارسال می‌شدند. کاربر با پی‌گیری مراحلی که نیاز به بازکردن این ایمیل و محتویات آن است، به‌طور ناخواسته ماکرو را اجرا می‌کند. 
تنها هکرهای علاقه‌مند به سرقت‌های مالی یا دسترسی به اطلاعات حیاتی کاربران و سایت‌ها از این شیوه استفاده نمی‌کنند، بلکه هکرهای سایبری دولتی نیز از ماکروها بهره‌برداری می‌کنند. دو محقق به نام‌های گادی اورون و تیلمن وارنر اخیراً روی یک حمله سایبری به نام Rocket Kitten علیه کنگره ارتباطات Chaos هامبورگ تحقیقی انجام دادند. نتایج این تحقیق نشان می‌دهد هکرها مراکز دولتی و سازمان‌های آکادمی شرق اروپا و... را هدف قرار دادند و از هرزنامه‌های فیشینگ شامل یک فایل اکسل و یک ماکرو آلوده استفاده کردند. 
وقتی این فایل اکسل باز می‌شود، ماکرو آلوده یک درپشتی (Backdoor) خطرناک را نصب می‌کند. یک گروه هکری دیگر در ماه سپتامبر با استفاده از اسناد نرم‌افزار ورد آفیس مایکروسافت و یک ماکرو آلوده به نام CosmicDuke، وزارت خارجه‌ای را در اروپا هدف قرار داده بود. محققان مؤسسه F-Secure درباره این ماکرو می‌گویند: «هنگامی که فایل پیوست ایمیل را باز می‌کنید، سند ورد با دستوراتی که کلیک می‌کنید، به شما کمک می‌کند ماکرو را فعال کنید.» تمام این گزارش‌ها از بازگشت ماکروهای آلوده خبر می‌دهند. البته این بار مهندسی اجتماعی و فریب‌کاری‌ نیز افزوده شده است.