- Atacatorii au găsit o nouă cale în interiorul computerului tău, lăsând toate datele expuse.
- De data aceasta, infractorii cibernetici ingenioși au exploatat un patch critic Microsoft Office.
În această lume online în continuă creștere și în continuă schimbare, amenințările au devenit atât de comune și atât de greu de detectat încât, a rămâne protejat este doar o chestiune de a rămâne cu un pas înaintea atacatorilor.
Noi rezultate ale cercetării publicate de firma de securitate cibernetică Sophos, arată că terțe părți rău intenționate au putut să utilizeze o exploatare Office de dovadă de concept disponibilă public și să-l transforme în arme pentru a furniza malware-ul Formbook.
Se presupune că infractorii cibernetici au reușit de fapt să creeze un exploit capabil să ocolească o vulnerabilitate critică de execuție a codului de la distanță în Microsoft Office, care a fost corectată la începutul acestui an.
Atacatorii ocolesc patch-ul critic Microsoft Office cu exploit
Nu trebuie să te întorci în timp atât de mult pentru a-ți da seama de unde a început totul. În septembrie, Microsoft a lansat un patch pentru a împiedica atacatorii să execute cod rău intenționat încorporat într-un document Word.
Datorită acestui defect, ar fi descărcată automat o arhivă Microsoft Cabinet (CAB), care conține un executabil rău intenționat.
Acest lucru a fost realizat prin reelaborarea exploit-ului original și plasarea documentului Word rău intenționat în interiorul unui arhivă RAR special creată, care a furnizat o formă de exploatare capabilă să evite cu succes plasturele original.
Mai mult, acest ultim exploit a fost livrat victimelor sale folosind e-mailuri spam timp de aproximativ 36 de ore înainte de a dispărea complet.
Cercetătorii în domeniul securității de la Sophos cred că durata de viață limitată a exploit-ului ar putea însemna că a fost un experiment de funcționare uscată care ar putea fi folosit în atacuri viitoare.
Versiunile pre-patch ale atacului au implicat cod rău intenționat împachetat într-un fișier Microsoft Cabinet. Când patch-ul Microsoft a închis această lacună, atacatorii au descoperit o dovadă de concept care arăta cum puteți grupa malware-ul într-un alt format de fișier comprimat, o arhivă RAR. Arhivele RAR au fost folosite înainte pentru a distribui cod rău intenționat, dar procesul folosit aici a fost neobișnuit de complicat. Probabil că a reușit doar pentru că misiunea patch-ului a fost definită foarte îngust și pentru că programul WinRAR pe care utilizatorii trebuie să îl deschidă RAR-ul este foarte tolerant la erori și nu pare să deranjeze dacă arhiva este defectă, de exemplu, pentru că a fost manipulată.
De asemenea, s-a descoperit că atacatorii responsabili au creat o arhivă RAR anormală care avea un script PowerShell înaintea unui document Word rău intenționat stocat în arhivă.
Pentru a ajuta la răspândirea acestei arhive RAR periculoase și a conținutului ei rău intenționat, atacatorii au creat și a distribuit e-mailuri spam care invitau victimele să decomprima fișierul RAR pentru a accesa Word document.
Așa că mai bine țineți cont de acest lucru atunci când aveți de-a face cu acest software și dacă ceva pare chiar de departe suspect.
Menținerea în siguranță ar trebui să fie prioritatea numărul unu pentru noi toți atunci când avem de-a face cu internetul. Acțiuni simple care ar putea părea inofensive în primul rând, ar putea declanșa lanțuri serioase de evenimente și consecințe.
Ați fost și dumneavoastră o victimă a acestor atacuri malware? Împărtășiți-vă experiența cu noi în secțiunea de comentarii de mai jos.
