SOS :: Security Operation Space
20 апреля, пятница, 00:00
Hot News:

Вредоносный DOCX-файл обманывает защитные решения

12 апреля 2018 г., четверг, 13:46

Документ распространяется через спам-рассылку и не содержит ни макросов, ни ссылок.

ИБ-исследователи из компании Menlo Security обнаружили новую кампанию по распространению шпионского ПО FormBook. Волна атак в основном затронула предприятия финансового и IT-сектора в США и странах Ближнего Востока.

Злоумышленники находят жертв, рассылая вредоносные письма с прикрепленными текстовыми файлами. Документ не содержит ни макросов, ни активных ссылок, поэтому песочницы и антивирусы считают его «чистым». Вместо этого в тексте присутствуют HTML-теги, ссылающиеся на информацию из отдельного файла webSettings.xml.rels. Если просматривать такое вложение в незащищенном режиме, из последнего активируется сокращенный URL, ведущий на C&C-сервер, с которого загружается вредоносный RTF-документ. При открытии встроенный в него объект переносится во временную папку %TEMP%, где генерится исполняемый файл EXE, скачивающий на компьютер жертвы основную полезную нагрузку — FormBook.

Этот зловред позволяет записывать нажатия клавиш и извлекать данные из сеансов HTTP и буфера обмена, а также выполнять поступающие с C&C-сервера команды: скачивать и запускать файлы, перезагружать и выключать систему, красть локальные пароли и файлы cookie.

В рамках этой кампании киберпреступники задействовали уязвимость CVE-2017-8570, закрытую еще в июле 2017 года и позволяющую удаленно выполнять код в Microsoft Office. Примечательно, что этой же брешью совсем недавно воспользовались злоумышленники, стоящие за массовой рассылкой банковских троянов, похитителей информации и прочих вредоносных программ.

Похожая уязвимость в Microsoft Word привела к волне атак зловредов для кражи данных и паролей в январе и феврале 2018 года, от которых также пострадали в основном компании, а не отдельные пользователи.

Ваш голос учтён!
нравится
не нравится Рейтинг:
0
Всего голосов: 0
Комментарии

Добавить комментарий к новости

Ваше имя: *
Сообщение: *
Нет комментариев
03:09
02:39
02:11
16:50
13:30
13:16
12:54
09:46
15:53
15:46
15:26
12:45
12:43
12:22
04:14
16:46
15:21
14:50


© 2013—2018 SOS :: Security Operation Space (Пространство Операций Безопасности) | DO  // Обратная связь  | 0.083
Использование любых материалов, размещённых на сайте, разрешается при условии ссылки на sos.net.ua.