- Hyökkääjät löysivät uuden tavan tietokoneellesi ja jättivät kaikki tietosi näkyviin.
- Tällä kertaa nerokkaat kyberrikolliset käyttivät hyväkseen kriittistä Microsoft Office -korjausta.
Tässä jatkuvasti kasvavassa ja alati muuttuvassa verkkomaailmassa uhista on tullut niin yleisiä ja niin vaikeasti havaittavia, että suojattuna pysyminen on vain asia, joka pysyy askeleen edellä hyökkääjiä.
Kyberturvallisuusyhtiön julkaisemat uudet tutkimustulokset Sophos, osoittavat, että haitalliset kolmannet osapuolet pystyivät ottamaan käyttöön julkisesti saatavilla olevan proof-of-concept Office -hyödynnyksen ja asettamaan sen toimittamaan Formbook-haittaohjelman.
Väitetään, että kyberrikolliset todella onnistuivat luomaan hyväksikäytön, joka pystyy ohittamaan Microsoft Officen kriittisen koodin etäsuorittamisen haavoittuvuuden, joka korjattiin aiemmin tänä vuonna.
Hyökkääjät ohittavat kriittisen Microsoft Office -korjauksen hyödyntämällä
Sinun ei tarvitse palata ajassa taaksepäin niin kauan selvittääksesi, mistä kaikki alkoi. Syyskuussa Microsoft julkaisi korjaustiedoston estääkseen hyökkääjiä suorittamasta Word-asiakirjaan upotettua haittakoodia.
Tämän puutteen ansiosta Microsoft Cabinet (CAB) -arkisto, joka sisältää haitallisen suoritettavan tiedoston, ladataan automaattisesti.
Tämä saavutettiin muokkaamalla alkuperäistä hyväksikäyttöä ja sijoittamalla haitallinen Word-asiakirja a erityisesti muotoiltu RAR-arkisto, joka tarjosi hyväksikäytön muodon, joka pystyy onnistuneesti kiertämään alkuperäinen laastari.
Lisäksi tätä viimeisintä hyväksikäyttöä toimitettiin uhreille roskapostisähköpostien avulla noin 36 tunnin ajan ennen kuin se katosi kokonaan.
Sophosin tietoturvatutkijat uskovat, että hyväksikäytön rajallinen käyttöikä voi tarkoittaa, että kyseessä oli kuivakäynnistyskoe, jota voitaisiin käyttää tulevissa hyökkäyksissä.
Hyökkäyksen korjauspäivitystä edeltävät versiot sisälsivät Microsoft Cabinet -tiedostoon pakattua haittakoodia. Kun Microsoftin korjauskorjaus sulki tämän porsaanreiän, hyökkääjät löysivät konseptin todisteen, joka osoitti, kuinka voit niputtaa haittaohjelmat eri pakattuun tiedostomuotoon, RAR-arkistoon. RAR-arkistoja on käytetty aiemmin haitallisen koodin levittämiseen, mutta tässä käytetty prosessi oli epätavallisen monimutkainen. Se todennäköisesti onnistui vain siksi, että korjaustiedoston tehtäväalue oli hyvin kapeasti määritelty ja koska WinRAR-ohjelma, joka käyttäjien on avattava RAR on erittäin vikasietoinen, eikä se näytä haittaavan, jos arkisto on muotoiltu väärin esimerkiksi siksi, että sitä on peukaloitu.
Havaittiin myös, että vastuussa olevat hyökkääjät olivat luoneet epänormaalin RAR-arkiston, jossa oli PowerShell-komentosarja, joka edelsi arkistoon tallennettua haitallista Word-asiakirjaa.
Hyökkääjät loivat tämän vaarallisen RAR-arkiston ja sen haitallisen sisällön levittämisen ja jakoi roskapostiviestejä, joissa uhreja pyydettiin purkamaan RAR-tiedosto päästäkseen Wordiin asiakirja.
Joten sinun on parempi pitää tämä mielessä, kun käsittelet tätä ohjelmistoa ja jos jokin vaikuttaa edes vähän epäilyttävältä.
Turvassa pysymisen pitäisi olla meille kaikille ykkösprioriteetti, kun käsittelemme Internetiä. Yksinkertaiset toimet, jotka saattavat aluksi tuntua harmittomilta, voivat laukaista vakavia tapahtumaketjuja ja seurauksia.
Olitko sinäkin näiden haittaohjelmahyökkäysten uhri? Jaa kokemuksesi kanssamme alla olevassa kommenttiosassa.
