- 攻撃者は、すべてのデータを公開したまま、コンピューター内に新しい方法を見つけました。
- 今回は、巧妙なサイバー犯罪者が重要なMicrosoftOfficeパッチを悪用しました。
この成長し続けるオンラインの世界では、脅威が非常に一般的になり、検出が困難になっているため、保護を維持することは、攻撃者の一歩先を行くことだけです。
サイバーセキュリティ会社が発表した新しい研究結果 ソソソ、悪意のあるサードパーティが公開されている概念実証Officeのエクスプロイトを利用し、それを武器にしてFormbookマルウェアを配信できたことを示します。
伝えられるところによると、サイバー犯罪者は実際に、今年初めにパッチが適用されたMicrosoftOfficeの重大なリモートコード実行の脆弱性を回避できるエクスプロイトを作成することができました。
攻撃者はエクスプロイトで重要なMicrosoftOfficeパッチをバイパスします
すべてがどこから始まったのかを理解するために、それほど長い時間を遡る必要はありません。 9月に、Microsoftは、攻撃者がWord文書に埋め込まれた悪意のあるコードを実行するのを防ぐためのパッチをリリースしました。
この欠陥のおかげで、悪意のある実行可能ファイルを含むMicrosoftキャビネット(CAB)アーカイブが自動的にダウンロードされます。
これは、元のエクスプロイトを作り直し、悪意のあるWord文書を内部に配置することで達成されました。 特別に細工されたRARアーカイブ。これは、 オリジナルパッチ。
さらに、この最新のエクスプロイトは、完全に消滅する前に約36時間、スパムメールを使用して被害者に配信されました。
ソフォスのセキュリティ研究者は、このエクスプロイトの寿命が限られているということは、将来の攻撃で使用される可能性のあるドライラン実験である可能性があると考えています。
パッチ適用前のバージョンの攻撃には、Microsoftキャビネットファイルにパッケージ化された悪意のあるコードが含まれていました。 Microsoftのパッチがその抜け穴を塞いだとき、攻撃者は、マルウェアを別の圧縮ファイル形式であるRARアーカイブにバンドルする方法を示す概念実証を発見しました。 RARアーカイブは、悪意のあるコードを配布するために以前に使用されていましたが、ここで使用されるプロセスは非常に複雑でした。 パッチの権限が非常に狭く定義されていて、ユーザーが開く必要のあるWinRARプログラムが原因でのみ、成功した可能性があります。 RARは非常にフォールトトレラントであり、たとえば、改ざんされているなどの理由でアーカイブの形式が正しくない場合でも、気にしないように見えます。
また、責任のある攻撃者が、アーカイブ内に保存されている悪意のあるWord文書の前にPowerShellスクリプトを含む異常なRARアーカイブを作成したことも発見されました。
この危険なRARアーカイブとその悪意のあるコンテンツを広めるのを助けるために、攻撃者は作成しました 被害者にRARファイルを解凍してWordにアクセスするように勧めるスパムメールを配布しました 資料。
したがって、このソフトウェアを扱うとき、および何かがリモートで疑わしいと思われる場合でも、これを覚えておくとよいでしょう。
インターネットを扱うとき、安全を保つことは私たち全員にとって最優先事項でなければなりません。 最初は無害に見えるかもしれない単純な行動は、一連の深刻な出来事と結果を引き起こす可能性があります。
あなたもこれらのマルウェア攻撃の犠牲者でしたか? 以下のコメントセクションで私たちとあなたの経験を共有してください。
