 |
 |
Home | | | |
Short News | | | |
Long News | | | |
Long Reads | | | |
Support | | | |
Library |
25 апреля, четверг, 00:00
|
|
Home | | | |
Short News | | | |
Long News | | | |
Long Reads | | | |
Support | | | |
Library |
В результате многоступенчатой атаки на машину загружается похититель информации — Agent Tesla, Loki и т. п.
Исследователи из Cisco Talos зафиксировали новую вредоносную кампанию с многоступенчатой цепочкой заражения, использующей OLE-функциональность Microsoft Office, файлы в формате RTF и известные эксплойты.
Конечной целью злоумышленников является загрузка программы для кражи данных — Agent Tesla, Loki и т. п.
Атака начинается с открытия поддельного документа в формате .docx со встроенным объектом OLE2Link. На этом этапе злоумышленники используют эксплойт CVE-2017-0199; в случае успеха с заданного URL загружается rtf-файл с сильно обфусцированным содержимым. По свидетельству Cisco Talos, на момент анализа на вредоносный файл отреагировали лишь два антивируса из коллекции VirusTotal, да и те выдали вердикт «данные неправильного формата».
Зловредный документ RTF нацелен на эксплойт уязвимости CVE-2017-11882 в редакторе формул сторонней разработки (Equation Editor), запуск которого осуществляется через функции OLE/COM. При успешном эксплойте Equation Editor загружает со стороннего сервера целевой PE-бинарник и создает процесс scvhost.exe, который легко спутать с легитимным svchost. exe. Позднее scvhost.exe запускает еще один свой экземпляр, так как вредоносный код загружается в память с использованием техники process hollowing.
Доставляемый через эксплойт Agent Tesla способен воровать пароли из 25 широко используемых приложений, в том числе Chrome, Firefox, Internet Explorer, Yandex, Outlook, Thunderbird и Apple keychain. Он также умеет регистрировать нажатия клавиш, извлекать содержимое буфера обмена, делать снимки экрана, включать веб-камеру и загружать дополнительные вредоносные файлы. Вывод собранной информации зловред может осуществлять по разным каналам — SMTP, FTP, HTTP, но использует только HTTP POST, зашифровывая данные по 3DES.
Иногда по этой же схеме распространяется бот Gamarue/Andromeda, который тоже обладает типовыми функциями похитителя информации, но вдобавок способен захватить контроль над машиной жертвы. А в начале лета эксперты наблюдали схожую кампанию, нацеленную на засев шпиона FormBook. Не исключено, что со временем подобным образом будут распространяться и другие зловреды.
 |
нравится | не нравится |  |
Рейтинг: | 0 |
Всего голосов: 0 |
19:45 |
||
17:45 |
||
14:45 |
||
12:45 |
||
11:45 |
||
09:45 |
||
09:45 |
||
19:45 |
||
18:45 |
||
16:45 |
||
15:45 |
||
14:45 |
||
13:45 |
||
10:45 |
||
10:45 |
||
09:45 |
||
19:45 |
||
19:45 |
| Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library | | | Blogs | | | Links |
