Зафиксирована новая многоступенчатая атака через Word




Эксперты Trustwave обнаружили новую спам-кампанию, в рамках которой злоумышленники используют документы Microsoft Word для доставки крадущего пароли зловреда, пишет Threatpost.

По словам экспертов, в данном случае распространители вредоносного ПО полагаются не на макросы Microsoft Office, а на OLE-функциональность, позволяющую запустить сложную цепочку заражения.

Исследователи зафиксировали несколько тем поддельных писем с вредоносными вложениями, распространяемых злоумышленниками. Такие сообщения могут быть замаскированы под выписку из банковского счета, запрос оферты, телексное уведомление или SWIFT-копию балансового платежа. По всей видимости, за этой спам-кампанией стоит одна и та же криминальная группа, которая, впрочем, может сменить шаблоны в любую минуту.

При открытии вложения в формате .docx, содержащего встроенный OLE-объект с внешними ссылками, происходит загрузка и запуск вредоносного rtf-файла, снабженного вводящим в заблуждение расширением .doc. Анализ показал, что этот файл нацелен на эксплуатацию уязвимости CVE-2017-11882 в Office Equation Editor. В результате отработки эксплойта с удаленного сервера на машину жертвы загружается и запускается на исполнение hta-файл — с помощью командной строки MSHTA.

Этот файл содержит VBScript с обфусцированным кодом; его декодирование обнаружило скрипт PowerShell, единственным назначением которого является загрузка из внешнего источника и установка целевого PSW-зловреда. Последний, по словам экспертов, способен воровать пароли, сохраненные в браузерах, ftp-клиентах и почтовых программах. Украденные данные в итоге выгружаются на удаленный сервер злоумышленников.

Microsoft пропатчила CVE-2017-11882 еще в ноябре, однако после публикации эта уязвимость начала активно применяться в атаках. Так, из известных случаев за истекший период ею воспользовались хакерская группировка Cobalt и распространители таких зловредов, как троян TelegramRAT и многофункциональный бэкдор Zyklon.

Автор: Softodrom.ru
Дата:
» Оставьте первым свой комментарий

Новости > Безопасность > Зафиксирована новая многоступенчатая атака через Word
Все рубрики статей:
Топ-сегодня: Безопасность
Данные 900 тыс. россиян оказались в открытом доступе
В открытом доступе в Сети оказались персональные данные клиентов трех российских банков, в общей сложности утечка затрагивает интересы около 900 тыс. россиян
Пользователям Android-устройств угрожают мошеннические push-уведомления
Технология Push позволяет сайтам с согласия пользователя отправлять ему уведомления даже когда соответствующие веб-страницы не открыты в браузере
Уязвимость в Microsoft Office используют спамеры
Исследователи из Microsoft наблюдают активизацию спам-рассылок, нацеленных на эксплуатацию уязвимости CVE-2017-11882
«Коммерсант» подает в суд на «Наших» за DDoS-атаки
И требует от Медведева контроля за этим расследованием
Большинство популярных сайтов не прошли проверку Mozilla на безопасность
Несмотря на трехкратный рост применения CSP и SRI, число сайтов, использующих эти функции безопасности, пока не превышает одного процента от общего количества
Новые статьи: Безопасность
Пользователям Android-устройств угрожают мошеннические push-уведомления
Технология Push позволяет сайтам с согласия пользователя отправлять ему уведомления даже когда соответствующие веб-страницы не открыты в браузере
Данные 900 тыс. россиян оказались в открытом доступе
В открытом доступе в Сети оказались персональные данные клиентов трех российских банков, в общей сложности утечка затрагивает интересы около 900 тыс. россиян
Уязвимость в Microsoft Office используют спамеры
Исследователи из Microsoft наблюдают активизацию спам-рассылок, нацеленных на эксплуатацию уязвимости CVE-2017-11882
Apple рассказала о безопасности macOS Catalina
Компания Apple объявила о новых мерах безопасности, которые реализованы в macOS 10.15 Catalina
У россиян проверили цифровую грамотность
Москва заняла 21-е место со средним значением уровня цифровой грамотности 7,29 балла

Статистика | Рейтинги | Авторам | Реклама
Copyright © 1999-2019 Softodrom.ru
О перепечатках | Рассылки | Пользовательское соглашение | Политика конфиденциальности | О проекте | Карта сайта
В Опере нет автоматического способа добавить поиск по Софтодрому.
Чтобы вручную добавить поиск по Софтодрому, нужно сделать следующее:
  1. Нажать Ctrl+F12.
  2. Выбрать вкладку «Поиск».
  3. Нажать «Добавить» (Add).
  4. В появившемся окне:
    1. Заполнить название (Softodrom.ru).
    2. Заполнить адрес: https://www.softodrom.ru/Поиск/?text=%s&qs
      Если нет поля «адрес», то кликнуть на «Подробнее».
    3. Остальные поля заполнить по желанию.
  5. Нажать «ОК».