Новость дня: Глава Ростелекома заявил о невозможности подключения к 5G европейской части России

Зафиксирована новая многоступенчатая атака через Word





Эксперты Trustwave обнаружили новую спам-кампанию, в рамках которой злоумышленники используют документы Microsoft Word для доставки крадущего пароли зловреда, пишет Threatpost.

По словам экспертов, в данном случае распространители вредоносного ПО полагаются не на макросы Microsoft Office, а на OLE-функциональность, позволяющую запустить сложную цепочку заражения.

Исследователи зафиксировали несколько тем поддельных писем с вредоносными вложениями, распространяемых злоумышленниками. Такие сообщения могут быть замаскированы под выписку из банковского счета, запрос оферты, телексное уведомление или SWIFT-копию балансового платежа. По всей видимости, за этой спам-кампанией стоит одна и та же криминальная группа, которая, впрочем, может сменить шаблоны в любую минуту.

При открытии вложения в формате .docx, содержащего встроенный OLE-объект с внешними ссылками, происходит загрузка и запуск вредоносного rtf-файла, снабженного вводящим в заблуждение расширением .doc. Анализ показал, что этот файл нацелен на эксплуатацию уязвимости CVE-2017-11882 в Office Equation Editor. В результате отработки эксплойта с удаленного сервера на машину жертвы загружается и запускается на исполнение hta-файл — с помощью командной строки MSHTA.

Этот файл содержит VBScript с обфусцированным кодом; его декодирование обнаружило скрипт PowerShell, единственным назначением которого является загрузка из внешнего источника и установка целевого PSW-зловреда. Последний, по словам экспертов, способен воровать пароли, сохраненные в браузерах, ftp-клиентах и почтовых программах. Украденные данные в итоге выгружаются на удаленный сервер злоумышленников.

Microsoft пропатчила CVE-2017-11882 еще в ноябре, однако после публикации эта уязвимость начала активно применяться в атаках. Так, из известных случаев за истекший период ею воспользовались хакерская группировка Cobalt и распространители таких зловредов, как троян TelegramRAT и многофункциональный бэкдор Zyklon.

Автор: Softodrom.ru
Дата:
Новые статьи: Безопасность
12.10.2020 16:39

Военные США атаковали сеть «русских киберпреступников»

Одной из целей проведенной операции являлось ослабление потенциальной способности ботнета повлиять на предстоящие президентские выборы в США


06.10.2020 20:52

Собянин заблокировал приложение для бесплатного проезда школьников и пенсионеров

Мэр Москвы Сергей Собянин объявил о новых мерах, направленных на борьбу с распространением коронавируса в столице


30.09.2020 18:06

В Минпромторге сообщили об иностранных утюгах с прослушкой

В России обнаружены произведенные за границей утюги «с закладками», способные вести прослушку


28.09.2020 15:54

Киберпреступники ищут новые способы шантажировать пользователей

По данным ESET, каждый десятый интернет-пользователь в России стал жертвой шантажа во время самоизоляции


26.09.2020 13:34

Российское бюро Интерпола: киберпреступники переходят на аутсорсинг

Предложения об организации «коммерческих» DDoS-атак, аренде бот-сетей, продаже или аренде программных кодов вредоносного ПО регулярно появляются в Даркнете


Популярное: Безопасность
07.04.2019 19:42

Как увидеть скрытых друзей во «ВКонтакте»

Поскольку многие пользователи «ВКонтакте» искренне верят, что существует способ увидеть чужих скрытых друзей, Софтодром решил этот миф опровергнуть


29.11.2017 05:21

Как удалить данные без возможности восстановления

Что такое безвозвратное удаление данных, и как удалить данные с компьютера так, чтобы их нельзя было восстановить


12.10.2020 16:39

Военные США атаковали сеть «русских киберпреступников»

Одной из целей проведенной операции являлось ослабление потенциальной способности ботнета повлиять на предстоящие президентские выборы в США


06.10.2020 20:52

Собянин заблокировал приложение для бесплатного проезда школьников и пенсионеров

Мэр Москвы Сергей Собянин объявил о новых мерах, направленных на борьбу с распространением коронавируса в столице


28.11.2017 06:35

Как найти адрес The Hidden Wiki

The Hidden Wiki — это вики-энциклопедия со ссылками на различные ресурсы Даркнета, расположенные в псевдо-домене .onion


» Оставьте первым свой комментарий

Новости /
Безопасность /
Зафиксирована новая многоступенчатая атака через Word
Все рубрики статей:
Статистика | Рейтинги | Авторам | Реклама
Copyright © 1999-2020 Softodrom.ru
О перепечатках | Рассылки | Пользовательское соглашение | Политика конфиденциальности | О проекте | Карта сайта
Яндекс.Метрика