- Angripere fant en ny måte inne på datamaskinen din, og etterlot alle dataene dine eksponert.
- Denne gangen utnyttet geniale nettkriminelle en kritisk Microsoft Office-oppdatering.
I denne stadig voksende og stadig skiftende nettverdenen har trusler blitt så vanlige og så vanskelige å oppdage at å holde seg beskyttet bare er et spørsmål om å være et skritt foran angriperne.
Nye forskningsresultater publisert av cybersikkerhetsfirmaet Sophos, viser at ondsinnede tredjeparter var i stand til å ta en offentlig tilgjengelig proof-of-concept Office-utnyttelse og bevæpne den for å levere Formbook malware.
Angivelig klarte nettkriminelle faktisk å lage en utnyttelse som er i stand til å omgå en kritisk sårbarhet for ekstern kjøring av kode i Microsoft Office, som ble rettet tidligere i år.
Angripere omgår kritisk Microsoft Office-oppdatering med utnyttelse
Du trenger ikke gå så lenge tilbake i tid for å finne ut hvor det hele startet. Tilbake i september ga Microsoft ut en oppdatering for å hindre angripere fra å kjøre skadelig kode innebygd i et Word-dokument.
Takket være denne feilen vil et Microsoft Cabinet (CAB)-arkiv, som inneholder en ondsinnet kjørbar fil, automatisk bli lastet ned.
Dette ble oppnådd ved å omarbeide den opprinnelige utnyttelsen og plassere det ondsinnede Word-dokumentet i en spesiallaget RAR-arkiv, som leverte en form for utnyttelse som er i stand til å unnvike original patch.
Videre ble denne siste utnyttelsen levert til ofrene ved hjelp av spam-e-poster i omtrent 36 timer før den forsvant helt.
Sikkerhetsforskerne ved Sophos mener at utnyttelsens begrensede levetid kan bety at det var et tørt eksperiment som kunne brukes i fremtidige angrep.
Pre-patch-versjonene av angrepet involverte ondsinnet kode pakket inn i en Microsoft Cabinet-fil. Da Microsofts patch lukket det smutthullet, oppdaget angripere et proof-of-concept som viste hvordan du kunne samle skadevare i et annet komprimert filformat, et RAR-arkiv. RAR-arkiver har blitt brukt før for å distribuere ondsinnet kode, men prosessen som ble brukt her var uvanlig komplisert. Det lyktes sannsynligvis bare fordi oppdateringens ansvarsområde var veldig snevert definert og fordi WinRAR-programmet som brukere trenger å åpne RAR er veldig feiltolerant og ser ikke ut til å bry seg om arkivet er feil utformet, for eksempel fordi det har blitt tuklet med.
Det ble også oppdaget at de ansvarlige angriperne hadde opprettet et unormalt RAR-arkiv som hadde et PowerShell-skript foran et ondsinnet Word-dokument lagret inne i arkivet.
For å bidra til å spre dette farlige RAR-arkivet og dets ondsinnede innhold, opprettet angriperne og distribuerte spam-e-poster som inviterte ofre til å komprimere RAR-filen for å få tilgang til Word dokument.
Så du bør ha dette i bakhodet når du arbeider med denne programvaren og hvis noe virker til og med fjernt mistenkelig.
Å holde seg trygg bør være førsteprioritet for oss alle når vi arbeider med internett. Enkle handlinger som kan virke harmløse først, kan utløse alvorlige hendelseskjeder og konsekvenser.
Var du også et offer for disse malware-angrepene? Del opplevelsen din med oss i kommentarfeltet nedenfor.
