Спамеры изобрели «безмакросную» атаку с использованием Word

Спамеры изобрели «безмакросную» атаку с использованием Word

С помощью новой техники злоумышленники заражают компьютеры жертв ПО для похищения паролей.  

Спамеры изобрели новую технику заражения компьютеров, предупреждают исследователи из Trustwave SpiderLabs. Несмотря на то, что атака предполагает открытие жертвой документа Word, разрешение на выполнение макросов с ее стороны не требуется.

По словам специалистов, в настоящее время эта новая «безмакросная» техника активно используется киберпреступниками для заражения систем вредоносным ПО, похищающим пароли. Исследователи обнаружили признаки использования новой техники только одной группировкой, однако вскоре ее наверняка возьмут на вооружение и другие.

«Безмакросная» атака состоит из нескольких этапов. Сначала жертва получает электронное письмо с вложенным файлом DOCX, содержащим объект OLE. Когда пользователь загружает и открывает файл, объект OLE загружает и открывает файл RTF, замаскированный под DOC. Этот файл эксплуатирует уязвимость CVE-2017-11882 в Office Equation Editor, и код эксплоита запускает командную строку MSHTA. В свою очередь, командная строка MSHTA загружает и запускает файл HTA со скриптом VBScript, который распаковывает скрипт PowerShell. Разархивированный скрипт загружает и устанавливает вредоносную программу для похищения паролей. Вредонос похищает пароли из браузеров, электронной почты и FTP-клиентов и загружает их на удаленный сервер.

Эксплуатируемая в ходе атаки уязвимость в Equation Editor была исправлена Microsoft в январе текущего года. Наилучшим способом обезопасить свои системы от ее эксплуатации является установка соответствующего патча.

Мы нашли признаки жизни...в вашем смартфоне!

Наш канал — питательная среда для вашего интеллекта

Эволюционируйте вместе с нами — подпишитесь!