แคมเปญฟิชชิ่งใหม่ที่มีการใช้ไฟล์ CSV ที่ถูกสร้างขึ้นเพื่อทำให้อุปกรณ์ของผู้ใช้ติดมัลแวร์ BazarBackdoor

ไฟล์ที่คั่นด้วยเครื่องหมายจุลภาค (CSV) เป็นไฟล์ที่มีคอลัมน์ของข้อมูลที่จะถูกคั่นด้วยเครื่องหมายจุลภาค ซึ่งในหลายกรณี ข้อความบรรทัดแรกคือส่วนหัวหรือคำอธิบายสำหรับข้อมูลในแต่ละคอลัมน์

การใช้ CSV เป็นวิธีที่นิยมในการส่งออกข้อมูลจากแอปพลิเคชัน ที่สามารถนำเข้าสู่โปรแกรมอื่นได้ ไม่ว่าจะเป็น Excel,โปรแกรมจัดการรหัสผ่านไปจนถึงซอฟต์แวร์ที่ใช้เรียกเก็บเงิน

เนื่องจาก CSV เป็นเพียงข้อความที่ไม่มีโค้ดคำสั่ง หลายคนจึงมองว่าไฟล์ประเภทนี้ไม่เป็นอันตราย และเปิดใช้งานได้อย่างไม่ต้องกังวล

อย่างไรก็ตาม Microsoft Excel ที่มีการรองรับฟีเจอร์ที่เรียกว่า Dynamic Data Exchange (DDE) สามารถใช้เพื่อรันคำสั่งที่มีเอาต์พุตป้อนลงในโปรแกรม spreadsheet ที่เปิดอยู่ รวมไปถึงไฟล์ CSV ที่ผู้ไม่หวังดีสามารถใช้ฟีเจอรืนี้เพื่อรันคำสั่งที่ดาวน์โหลด และติดตั้งมัลแวร์ได้โดยที่เหยื่อไม่สงสัย

ไฟล์ CSV ที่ใช้ DDE เพื่อติดตั้ง BazarBackdoor

แคมเปญฟิชชิ่งใหม่ที่ค้นพบโดยนักวิจัยด้านความปลอดภัย Chris Campbell กำลังถูกใช้เพื่อติดตั้งโทรจัน BazarLoader/BazarBackdoor บนไฟล์ CSV ที่เป็นอันตราย โดย BazarBackdoor เป็นมัลแวร์ที่สร้างขึ้นโดยกลุ่ม TrickBot เพื่อให้ผู้บุกรุกเข้าถึงอุปกรณ์ภายในจากระยะไกล และยังสามารถใช้เป็นช่องทางในการเข้าถึงข้อมูลภายในเครือข่ายได้

อีเมลฟิชชิงปลอมเป็นลักษณะ "คำแนะนำการโอนเงิน" พร้อมทั้งลิงค์ไปดาวน์โหลดไฟล์ CSV ที่มีชื่อคล้ายกับ "document-21966.csv"

เช่นเดียวกับไฟล์ CSV ปกติ ไฟล์ document-21966.csv เป็นเพียงไฟล์ข้อความ โดยมีคอลัมน์ของข้อมูลคั่นด้วยเครื่องหมายจุลภาค ตามรูปภาพด้านล่าง

ผู้เชี่ยวชาญสังเกตเห็นว่าคอลัมน์ข้อมูลมีการเรียกใช้ WMIC แปลก ๆ ในคอลัมน์หนึ่งของข้อมูล ที่เรียกใช้คำสั่ง PowerShell นั่นก็คือ WmiC| เป็นคำสั่งฟังก์ชัน DDE ที่ทำให้ Microsoft Excel เปิดใช้ WMIC.exe และรันคำสั่ง PowerShell ที่ให้มา

ในกรณีนี้ DDE จะใช้ WMIC เพื่อสร้าง Process PowerShell ใหม่ที่มีการ Remote URL จากระยะไกลที่มีคำสั่ง PowerShell อื่นๆที่ดำเนินการไว้แล้ว

การเรียกใช้คำสั่ง PowerShell จากระยะไกลที่แสดงด้านล่างนี้ จะดาวน์โหลดไฟล์ picture.