- Útočníci našli nový způsob uvnitř vašeho počítače a nechali všechna vaše data odhalená.
- Tentokrát důmyslní kyberzločinci zneužili kritickou opravu Microsoft Office.
V tomto neustále rostoucím a neustále se měnícím online světě se hrozby staly tak běžnými a tak těžké je odhalit, že zůstat v bezpečí je pouze otázkou zůstat o krok před útočníky.
Nové výsledky výzkumu zveřejnila firma zabývající se kybernetickou bezpečností Sophos, ukazují, že třetí strany se zlými úmysly dokázaly využít veřejně dostupný proof-of-concept Office exploit a vyzbrojit jej k doručení malwaru Formbook.
Údajně se kyberzločincům skutečně podařilo vytvořit exploit schopný obejít kritickou zranitelnost vzdáleného spuštění kódu v Microsoft Office, která byla opravena začátkem tohoto roku.
Útočníci obcházejí kritickou opravu Microsoft Office pomocí exploitu
Nemusíte se tak dlouho vracet v čase, abyste zjistili, kde to všechno začalo. Již v září Microsoft vydal opravu, která má útočníkům zabránit ve spouštění škodlivého kódu vloženého do dokumentu aplikace Word.
Díky této chybě by se automaticky stáhl archiv Microsoft Cabinet (CAB) obsahující škodlivý spustitelný soubor.
Toho bylo dosaženo přepracováním původního exploitu a umístěním škodlivého dokumentu Wordu do a speciálně vytvořený RAR archiv, který poskytl formu exploitu schopnou úspěšně se vyhnout originální patch.
Kromě toho byl tento nejnovější exploit doručován svým obětem pomocí spamových e-mailů přibližně 36 hodin, než zcela zmizel.
Bezpečnostní výzkumníci ze Sophos se domnívají, že omezená životnost exploitu by mohla znamenat, že šlo o suchý experiment, který by mohl být použit v budoucích útocích.
Verze útoku před opravou zahrnovaly škodlivý kód zabalený do souboru Microsoft Cabinet. Když oprava Microsoftu tuto mezeru uzavřela, útočníci objevili důkaz o konceptu, který ukázal, jak můžete sbalit malware do jiného komprimovaného formátu souboru, archivu RAR. Archivy RAR byly dříve používány k distribuci škodlivého kódu, ale zde použitý proces byl neobvykle komplikovaný. Pravděpodobně uspěla jen proto, že kompetence opravy byly velmi úzce definovány a protože program WinRAR, který uživatelé potřebují otevřít RAR je velmi odolný proti chybám a nezdá se, že by mu vadilo, pokud je archiv poškozen, například proto, že s ním bylo manipulováno.
Bylo také zjištěno, že odpovědní útočníci vytvořili abnormální archiv RAR, který měl skript PowerShell předřazený škodlivému dokumentu Word uloženému v archivu.
Aby útočníci pomohli rozšířit tento nebezpečný RAR archiv a jeho škodlivý obsah, vytvořili a distribuované spamové e-maily, které vyzývaly oběti, aby rozbalily soubor RAR, aby získaly přístup k Wordu dokument.
Takže to raději mějte na paměti, když se zabýváte tímto softwarem a pokud se vám něco zdá byť jen vzdáleně podezřelé.
Zůstat v bezpečí by mělo být pro nás všechny prioritou číslo jedna při práci s internetem. Jednoduché akce, které se na první pohled mohou zdát neškodné, mohou spustit vážné řetězce událostí a následků.
Byli jste také obětí těchto malwarových útoků? Podělte se s námi o své zkušenosti v sekci komentářů níže.
