 |
 |
Home | | | |
Short News | | | |
Long News | | | |
Long Reads | | | |
Support | | | |
Library |
24 апреля, среда, 00:00
|
|
Home | | | |
Short News | | | |
Long News | | | |
Long Reads | | | |
Support | | | |
Library |
Вредоносный спам рассылается на адреса телекоммуникационных, страховых и финансовых организаций.
Спам-кампании по распространению HTTP-зловреда Zyklon полагаются на три относительно свежие уязвимости в Microsoft Office. Атаки направлены против телекоммуникационных, страховых и финансовых организаций.
Новую вредоносную активность обнаружили исследователи из FireEye. Они полагают, что киберпреступники рассчитывают выудить пароли вместе с данными криптокошельков и заодно пополнить целевыми системами свой ботнет для проведения DDoS-атак.
Эксперты пишут, что атаки начались с рассылки спам-писем, снабженных вредоносным ZIP-архивом, содержащим файл .doc с эксплойтом для одной из трех уязвимостей в Microsoft Office.
Первая уязвимость представлена багом в .NET Framework (CVE-2017-8759), пропатченным Microsoft в октябре прошлого года. По словам компании-разработчика, если жертва откроет зараженный документ, атакующий сможет устанавливать программы, манипулировать данными и создавать новые учетные записи администратора. В атаке, описанной специалистами FireEye, зараженный файл .doc содержит встроенный OLE-объект, который после запуска инициирует загрузку дополнительного файла .doc с заданного URL-адреса.
Вторая уязвимость (CVE-2017-11882) представляет собой баг удаленного выполнения кода 17-летней давности, который был обнаружен в исполняемом файле Microsoft Equation Editor. Производитель залатал брешь в рамках традиционного вторника патчей в ноябре 2017 года. Принцип ее использования схож с предыдущим случаем — жертва открывает специально созданный файл .doc, который автоматически загружает другой файл в том же расширении с командой PowerShell, используемой для загрузки целевой полезной нагрузки.
Третья брешь скрывается в функциональности Dynamic Data Exchange (DDE), но компания Microsoft не считает ее уязвимостью и настаивает на том, что DDE является функцией и работает как задумано. Тем не менее, в ноябре компания выложила инструкцию для администраторов, в которой описано, как можно безопасно отключить DDE через новые ключи реестра для Office.
DDE — это протокол, описывающий принципы отправки сообщений приложениями и обмена данными через общую память. За последний год злоумышленники с успехом распространили массу вредоносных макросов, которые эксплуатируют его особенности для запуска дропперов, эксплойтов и вредоносных программ.
Специалисты FireEye отметили, что в недавних атаках DDE также используется для доставки дропперов.
«Во всех перечисленных методах используется один и тот же домен для загрузки следующего звена полезной нагрузки (Pause.ps1), представляющего собой очередной скрипт PowerShell в кодировке Base64, — рассказывают исследователи. — Скрипт Pause.ps1 распознает API, необходимые для внедрения кода».
В конечном счете Pause.ps1 тоже ведет себя как дроппер, загружающий и выполняющий «главную полезную нагрузку» — зловред Zyklon.
«Zyklon — это общедоступный, полнофункциональный бэкдор с возможностями кейлоггера, поиска паролей, загрузки и запуска дополнительных плагинов, проведения распределенных атак типа «отказ в обслуживании» (DDoS), самостоятельного обновления и самоуничтожения, — пишут эксперты FireEye. — Этот зловред может загрузить ряд плагинов, в том числе для майнинга криптовалют и извлечения паролей из браузеров и почтовых клиентов».
В данном случае Zyklon сконфигурирован так, чтобы маскировать взаимодействие с командным сервером через сеть Tor.
«Исполняемый файл Zyklon содержит еще один зашифрованный документ в разделе ресурсов .NET с названием tor. Этот файл расшифровывается и внедряется в процесс InstallUtil.exe, после чего действует как Tor-анонимизатор», — отмечают авторы отчета.
После успешной установки зловреда автор атаки сможет выполнять ряд задач: загружать новые плагины, перехватывать пароли или пропускать трафик через обратный прокси-сервер SOCKS5 на зараженных хостах.
«Такого рода угрозы наглядно демонстрируют важность своевременного обновления всего установленного ПО. Более того, другие отрасли тоже должны быть начеку — с большой вероятностью организаторы атаки постепенно расширят свою целевую аудиторию», — подчеркнули специалисты FireEye.
 |
нравится | не нравится |  |
Рейтинг: | 0 |
Всего голосов: 0 |
19:45 |
||
17:45 |
||
14:45 |
||
12:45 |
||
11:45 |
||
09:45 |
||
09:45 |
||
19:45 |
||
18:45 |
||
16:45 |
||
15:45 |
||
14:45 |
||
13:45 |
||
10:45 |
||
10:45 |
||
09:45 |
||
19:45 |
||
19:45 |
| Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library | | | Blogs | | | Links |
