Хакеры научились заражать ПК на Windows документами Word без макросов
11 апр 2018 14:40 #68134
от ICT
Архитектурные недочеты Эксперты компании Menlo Security отметили начавшуюся в марте волну кибератак на компании, относящиеся к финансовому сектору и сфере информационных услуг в США и на Ближнем Востоке. Злоумышленники используют многоступенчатые методики заражения. Ключевая проблема с этими атаками - чрезвычайная эффективность в обходе защитных средств, таких как антивирусы и сэндбоксы. Дело в том, что на первом этапе атаки злоумышленники рассылают специальный документ Word (.docx или .rtf), в котором нет никакого активного вредоносного содержимого - ни активного вредоносного кода, ни шелл-кода. Для заражения компьютера жертвы злоумышленники используют определенные «архитектурные недочеты» форматов .docx и .rtf. В частности, в документах, которые присылаются потенциальным жертвам на первой стадии атаки, используются Framesets («Наборы фреймов» в русской локализации) - специальные HTML-тэги, содержащие элементы Frame, которые производят дополнительную загрузку внешних объектов. В результате, когда документ просматривается в режиме разрешенного редактирования, встроенный фрейм обращается к сокращенной ссылке TinyURL, которая задана в сопутствующем файле webSettings.xml.rels. Файлы .rels содержат информацию о том, как разные части документа Microsoft Office сочетаются друг с другом. Ступеней много, уникальна - одна Если жертва открывает документ «первой стадии», Microsoft Word делает HTTP-запрос по заданной ссылке, скачивает внешний объект и встраивает его в документ. Ссылка ведет к контрольным серверам, физически расположенным во Франции и США, а внешним объектом является вредоносный RTF-файл, эксплуатирующий уязвимость CVE-2017-8570.
Вредоносная программа FormBook заражает ПК через документы Microsoft Word даже без использования макросов Данная уязвимость связана с неправильной обработкой Microsoft Office объектов в оперативной памяти и допускает запуск произвольного кода (или вредоносных файлов). Скачиваемый RTF-файл содержит встроенный файл .sct, который автоматически записывается в папку %TEMP%, автоматически запускается, после чего там формируется файл под названием chris101.exe, запускаемый с помощью метода Wscript.Shell.Run(). Этот файл снова обращается к контрольному серверу и скачивает еще один загрузчик, который уже непосредственно доставляет широко известную шпионскую программу FormBook. Эта программа способна записывать нажатия клавиш, перехватывать содержимое буфера обмена и данные из HTTP-сессий. Она также может выполнять команды, пересылаемые со стороны контрольных серверов, - такие, например, как загрузка новых файлов, запуск локальных процессов, перезагрузка или отключение системы, перехват паролей и файлов cookie и т.д. «В общем и целом, атака уникальна только своей первой стадией, - обычно злоумышленники пытаются любым способом заставить пользователей активировать макросы, чтобы использовать их как вектор заражения, - отметил Олег Галушкин, эксперт по информационной безопасности компании SEC Consult Services. - Дальнейшие стадии заражения вполне типичны и многократно опробованы различными злоумышленниками. Озадачивает только обилие систем, которые содержат эту уязвимость, учитывая, что Microsoft выпустила патч для нее еще без малого год назад». Действительно, уязвимость CVE-2017-8570 была исправлена еще в июле 2017 г., однако, по-видимому, в мире остается большое количество систем, на которые соответствующий патч так до сих пор и не был установлен.
Ссылка на источник
Пожалуйста Войти или Регистрация, чтобы присоединиться к беседе.
Похожие статьи
Тема | Релевантность | Дата |
---|---|---|
Хакеры научились создавать ботнеты из легального ПО | 12.73 | Среда, 12 сентября 2018 |
Хакеры научились лишать людей работы, взломав SAP | 12.6 | Четверг, 14 сентября 2017 |
Хакеры научились взламывать компьютеры через беспроводные мыши | 12.46 | Четверг, 24 марта 2016 |
Хакеры научились майнить криптовалюты через браузеры пользователей | 12.46 | Понедельник, 18 сентября 2017 |
Хакеры научились подменять адреса Bitcoin-кошельков при копипасте | 12.46 | Вторник, 23 января 2018 |
Хакеры научились взламывать сеть с помощью “физического” проникновения | 12.46 | Пятница, 16 августа 2019 |
Хакеры научились «ломать» Linux-сервера, чтобы добывать криптовалюту | 12.33 | Среда, 17 января 2018 |
Хакеры научились делать "вечный джейлбрейк" iPhone и iPad, получив доступ к ядру iOS | 12.08 | Понедельник, 16 февраля 2015 |
Зафиксирована новая версия трояна Xsser mRAT, способная заражать iOS-устройства | 9.91 | Воскресенье, 21 декабря 2014 |
В Microsoft Word обнаружена опасная уязвимость | 9.3 | Вторник, 11 апреля 2017 |