PUA.MSOffice.VBA.maldoc

شرح کلی

نوع: PUA (بدافزارهای بالقوه ناخواسته)
درجه تخریب: کم
میزان شیوع: کم

اسامی بدافزار:

PUA.MSOffice.VBA.maldoc

PUA) potentially Unwanted Application) چیست؟

بدافزارهایی که اغلب شامل برنامه‌های تبلیغاتی (Adware) یا نصب toolbar و یا اهداف دیگر هستند، اما در عمل به اندازه سایر بدافزارها مخرب نیستند. این دسته از بدافزارها ممکن است فعالیت‌هایی انجام دهند که مورد تأیید یا انتظار کاربر نیست و مخرب باشند ولی برخی از کاربران، فواید استفاده از این قبیل برنامه‌ها را بیشتر از معایبشان می‌دانند و استفاده از آنها را بنا به اختیار خود بدون اشکال تلقی می‌کنند‌.

توضیحات فنی

در ابزارهای مورد استفاده توسط گروه‌های APT همچون APT-19 و APT10 و مشتقات آنها نظیر TA-410 و سایر گروه‌های بدافزاری مانند بدافزارهای سرقت اطلاعات Emotet و همچنین اکثر موارد Cobalt Strike، شروع حمله اغلب با فایل آفیس با ماکروی دارای اجرای خودکار صورت می‌گیرد.

استفاده از این متدها معمولا به کمک مهندسی اجتماعی برای دور زدن sandbox و در دو صورت زیر انجام می‌پذیرد:

  1. حالت ساده، که با کمک این سیگنال‌ها بدافزار به محض باز شدن سند و در صورت فعال بودن ماکرو اجرا می‌شود.
  2. ماکرو در قالب template در سرور خارجی ذخیره شده و به کمک آپدیت external template یا به کمک آسیب‌پذیری‌های مرتبط به بارگذاری ماژول خارجی مانند CVE-2017-0199 و مشتقات آن در فایل tmp بارگذاری شده و اجرا می‌شود.

روش مقابله و پاک‌سازی سیستم

✅ به منظور پیشگیری از آسیب‌ها و از آنجایی که بنا به کارکرد مشتریان معمولا از کار انداختن کامل ماکرو امکان‌پذیر نمی‌باشد، بارگذاری Template به صورت خودکار با توابع زیر محدود می‌گردد.

* AutoExec

* AutoOpen

* Document_Open

* Workbook_Open

✅ آنتی ویروس پادویش این نوع تهدید را تحت عنوان PUA.MSOffice.VBA.maldoc شناسایی و از اجرای آن جلوگیری می‌کند. در صورتی که از سلامت فایل‌ها و رفتار کارکنان خود اطمینان دارید می‌توانید این امضا را استثنا کنید.