بدافزار جدیدی به نام FinalDraft از پیشنویسهای ایمیل Outlook برای ارتباطات فرمان و کنترل در حملات علیه کشورهای آمریکای جنوبی استفاده میکند
این حمات توسط Elastic Security Labs کشف شدند و بر یک مجموعه ابزار کامل متکی هستند که شامل لودر بدافزار سفارشی به نام PathLoader، درب پشتی FinalDraft و چندین ابزار پس از اکسپلویت است. هدف سوء استفاده از Outlook، در این مورد، دستیابی به ارتباطات مخفیانه است که به مهاجمان اجازه میدهد تا استخراج داده، پروکسی، تزریق فرآیند و حرکت جانبی را انجام دهند و در عین حال حداقل آثار ممکن را بر جای بگذارند. حمله با به خطر انداختن سیستم هدف با PathLoader آغاز میشود، یک فایل اجرایی کوچک که شِلکد، از جمله بدافزار FinalDraft را که از زیرساخت مهاجم بازیابی میشود، اجرا میکند.
PathLoader با هش کردن API و استفاده از رمزگذاری رشته، دارای حفاظت در برابر تجزیه و تحلیل استاتیک است. FinalDraft جهت استخراج دادهها و تزریق فرآیند استفاده میشود. پس از دانلود پیکربندی و ایجاد یک شناسه نشست، بدافزار از طریق Microsoft Graph API، با ارسال و دریافت دستورات از طریق پیش نویسهای ایمیل Outlook، ارتباط برقرار میکند. FinalDraft یک توکن OAuth را از مایکروسافت با استفاده از یک نشانه رفرش تعبیه شده در پیکربندی آن بازیابی می کند و آن را برای دسترسی دائمی در رجیستری ویندوز ذخیره می کند.
https://www.bleepingcomputer.com/news/security/new-finaldraft-malware-abuses-outlook-mail-service-for-stealthy-comms/
