Мой кабинет

Новая техника инфицирования пользователей вредоносным ПО без использования макросов

Делавэр, США – 16 февраля 2018 года – Злоумышленники взяли на вооружение новую технику, позволяющую загрузить на компьютер жертвы вредоносное ПО не вызывая особых подозрений и обходя межсетевые устройства. Исследователи из Trustwave обнаружили спам-кампанию, в которой злоумышленники использовали письма с вложенным документом Microsoft Word, инициирующим при открытии четырехуровневый процесс доставки вредоносного ПО без использования макросов. Документ создан в MS Word 2007 и содержит встроенный OLE-объект, который загружает и запускает RTF-файл. Этот файл эксплуатирует уязвимость CVE-2017-11882, которая была исправлена только в январе этого года. RTF-файл выполняет команду MSHTA для запуска файла HTA на удаленном сервере, который в свою очередь содержит скрипт PowerShell, загружающий и запускающий вредоносное ПО. Обнаруженная кампания распространяет вирус для кражи паролей, но это лишь вопрос времени, когда остальные злоумышленники возьмут на вооружение эту технику для доставки продвинутого вредоносного ПО.

Установка обновлений безопасности нарушит процесс доставки и предотвратит установку финальной нагрузки. Другая техника доставки без использования макросов – эксплуатация DDE в файлах MS Office. Не смотря на сложность реализации, ее продолжают использовать в направленных фишинговых камапниях. Обнаружить эксплуатацию DDE для доставки вредоносного ПО можно с помощью кейса DDE Exploitation Detector для ArcSight, QRadar и Splunk.

Related Posts