- A támadók új utat találtak a számítógépen belül, így az összes adatot szabadon hagyták.
- Ezúttal a zseniális kiberbűnözők egy kritikus Microsoft Office javítást használtak ki.
Ebben az egyre növekvő és folyamatosan változó online világban a fenyegetések olyan gyakorivá váltak, és olyan nehezen észlelhetők, hogy a védelem megőrzése csak egy lépéssel a támadók előtt marad.
Új kutatási eredményeket publikált a kiberbiztonsági cég Sophos, azt mutatják meg, hogy a rosszindulatú harmadik felek képesek voltak egy nyilvánosan elérhető proof-of-concept Office exploitot kihasználni, és fegyverrel felfegyverezni a Formbook rosszindulatú program továbbítására.
Állítólag a kiberbűnözőknek sikerült egy olyan exploitot létrehozniuk, amely képes megkerülni a Microsoft Office kritikus távoli kódfuttatási sebezhetőségét, amelyet az év elején javítottak ki.
A támadók exploittal megkerülik a kritikus Microsoft Office javításokat
Nem kell olyan sokáig visszamennie az időben, hogy rájöjjön, hol kezdődött az egész. A Microsoft még szeptemberben kiadott egy javítást, amely megakadályozza, hogy a támadók Word-dokumentumba ágyazott rosszindulatú kódot hajtsanak végre.
Ennek a hibának köszönhetően a Microsoft Cabinet (CAB) archívuma, amely rosszindulatú végrehajtható fájlt tartalmaz, automatikusan letöltődik.
Ezt az eredeti exploit átdolgozásával és a rosszindulatú Word-dokumentum a speciálisan kialakított RAR archívum, amely a kizsákmányolás olyan formáját nyújtotta, amely képes sikeresen elkerülni a eredeti folt.
Ezen túlmenően ezt a legutóbbi támadást körülbelül 36 órán keresztül spam e-mailek segítségével juttatták el áldozataihoz, mielőtt teljesen eltűnt.
A Sophos biztonsági kutatói úgy vélik, hogy az exploit korlátozott élettartama azt jelentheti, hogy szárazon futtatott kísérletről van szó, amelyet felhasználhatnak a jövőbeni támadásokhoz.
A támadás javítás előtti verziói egy Microsoft Cabinet fájlba csomagolt rosszindulatú kódot tartalmaztak. Amikor a Microsoft javítása bezárta ezt a kiskaput, a támadók felfedeztek egy olyan bizonyítékot, amely megmutatta, hogyan lehet a rosszindulatú programokat egy másik tömörített fájlformátumba, egy RAR archívumba kötni. A RAR archívumokat korábban is használták rosszindulatú kódok terjesztésére, de az itt alkalmazott folyamat szokatlanul bonyolult volt. Valószínűleg csak azért sikerült, mert a javítás hatásköre nagyon szűken volt meghatározva, és mert a WinRAR program, amelyet a felhasználóknak meg kell nyitniuk. a RAR nagyon hibatűrő, és úgy tűnik, nem bánja, ha az archívum hibás, például azért, mert manipulálták.
Azt is felfedezték, hogy a felelős támadók abnormális RAR-archívumot hoztak létre, amely egy PowerShell-szkriptet tartalmazott, amely az archívumban tárolt rosszindulatú Word-dokumentumot fűzte hozzá.
Ennek a veszélyes RAR archívumnak és rosszindulatú tartalmának terjesztése érdekében a támadók létrehozták és spam e-maileket terjesztettek, amelyek felkérték az áldozatokat, hogy csomagolják ki a RAR-fájlt a Word eléréséhez dokumentum.
Ezért jobb, ha ezt szem előtt tartja, amikor ezzel a szoftverrel foglalkozik, és ha valami még csak távolról is gyanúsnak tűnik.
A biztonság megőrzése legyen az első számú prioritás mindannyiunk számára, amikor az internettel foglalkozunk. Az egyszerű cselekvések, amelyek először ártalmatlannak tűnhetnek, komoly események és következmények láncolatát válthatják ki.
Ön is áldozata volt ezeknek a rosszindulatú támadásoknak? Ossza meg velünk tapasztalatait az alábbi megjegyzések részben.
