Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library |
Эксплойт внедрен в документ Word, замаскированный под заявку на трудоустройство в московской поликлинике.
Компания Adobe в экстренном порядке обновила Flash Player, закрыв уязвимость нулевого дня, которая уже засветилась в целевой атаке. Согласно бюллетеню, брешь CVE-2018-15982 возникла из-за ошибки использования освобожденной памяти и грозит исполнением произвольного кода в контексте текущего пользователя.
Уязвимости подвержен Flash Player выпусков 31.0.0.153 и ниже. Пользователям продукта рекомендуется как можно скорее обновить его на всех платформах до сборки 32.0.0.101.
Заодно Adobe устранила брешь в инсталляторе Flash Player, которую она оценила как существенную. Эта уязвимость (CVE-2018-15983) позволяет подменить DLL-библиотеку, загружаемую при запуске плеера, и повысить таким образом привилегии вредоносного варианта. Исключить угон DLL поможет установка релиза 31.0.0.122 инсталлятора (на Windows), который можно скачать из центра загрузок вместе с пропатченным Flash Player или получить в обычном порядке через встроенный механизм обновления.
Уведомление об эксплойте нулевого дня Adobe получила 29 ноября — отчет подали сразу несколько исследователей, в том числе из китайской компании Qihoo 360 и калифорнийской Gigamon. Анализ показал, что используемый в целевых атаках вредоносный rar-архив содержит документ-приманку в формате .docx и файл scan042.jpg с финальной полезной нагрузкой.
Копии камуфляжного документа обнаружились также на VirusTotal — файлы 22.docx и 33.docx были загружены для проверки с одного и того же украинского IP-адреса. Их содержимое одинаково и включает русскоязычную анкету сотрудника московской ведомственной поликлиники со скрытым объектом Flash, нацеленным на эксплойт CVE-2018-15982.
Имитация атаки в лабораторных условиях показала, что открытия документа достаточно для запуска эксплойта и целевого зловреда. Правда, защита Microsoft Word предупреждает пользователя, что встроенный контент может оказаться вредоносным. Если тот согласится продолжить, произойдет исполнение команды на извлечение файла scan042.jpg и запуск содержащегося в нем backup.exe — кастомного трояна с функциями бэкдора.
Вредоносный код подписан краденым сертификатом, выданным британской транспортной компании (он уже отозван). Зловред прежде всего проверяет наличие антивируса в системе — от F-Secure, Panda, ESET, Avira, Bitdefender, Symantec (Norton) или «Лаборатории Касперского». Обнаружив соответствующие файлы или процессы, он использует функциональность самоуничтожения.
В противном случае троян копирует себя в папку %LocalAppData%, выдавая копию за панель управления NVIDIA, и добавляет в реестр ключ для запуска своего кода при каждом входе пользователя в систему.
При первом подключении к центру управления зловред отсылает шифрованную по base64 информацию о зараженной системе — через запрос HTTP POST. Судя по IP-адресу, командный сервер злоумышленников расположен в Румынии.
19:45 |
||
17:45 |
||
14:45 |
||
12:45 |
||
11:45 |
||
09:45 |
||
09:45 |
||
19:45 |
||
18:45 |
||
16:45 |
||
15:45 |
||
14:45 |
||
13:45 |
||
10:45 |
||
10:45 |
||
09:45 |
||
19:45 |
||
19:45 |
Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library | | | Blogs | | | Links |