- Злоумышленники нашли новый способ проникнуть в ваш компьютер, оставив все ваши данные незащищенными.
- На этот раз изобретательные киберпреступники использовали критический патч Microsoft Office.
В этом постоянно растущем и постоянно меняющемся онлайн-мире угрозы стали настолько обычными и их так трудно обнаружить, что оставаться в безопасности - это всего лишь вопрос того, чтобы оставаться на шаг впереди злоумышленников.
Новые результаты исследования, опубликованные фирмой по кибербезопасности Софос, показывают, что третьи злоумышленники смогли использовать общедоступный экспериментальный эксплойт Office и использовать его для доставки вредоносного ПО Formbook.
Якобы злоумышленникам действительно удалось создать эксплойт, способный обойти критическую уязвимость удаленного выполнения кода в Microsoft Office, которая была исправлена в начале этого года.
Злоумышленники обходят критический патч Microsoft Office с помощью эксплойта
Вам не нужно так долго возвращаться во времени, чтобы понять, с чего все началось. Еще в сентябре Microsoft выпустила патч для предотвращения запуска злоумышленниками вредоносного кода, встроенного в документ Word.
Благодаря этой уязвимости автоматически загружался архив Microsoft Cabinet (CAB), содержащий вредоносный исполняемый файл.
Это было достигнуто переработкой исходного эксплойта и помещением вредоносного документа Word в специально созданный архив RAR, который представляет собой форму эксплойта, способного успешно обходить оригинальный патч.
Кроме того, этот последний эксплойт был доставлен своим жертвам с помощью спама в течение примерно 36 часов, прежде чем он полностью исчез.
Исследователи безопасности в Sophos считают, что ограниченный срок службы эксплойта может означать, что это был пробный эксперимент, который можно было бы использовать в будущих атаках.
В версиях атаки до исправления использовался вредоносный код, упакованный в файл Microsoft Cabinet. Когда патч Microsoft закрыл эту лазейку, злоумышленники обнаружили концепцию, которая показала, как можно объединить вредоносное ПО в другой сжатый формат файла, архив RAR. Раньше для распространения вредоносного кода использовались архивы RAR, но использованный здесь процесс был необычайно сложным. Скорее всего, это удалось только потому, что сфера действия патча была очень узкой и потому что программа WinRAR, которую пользователи должны открыть RAR очень отказоустойчив и, похоже, не возражает, если архив искажен, например, из-за подделки.
Также было обнаружено, что злоумышленники создали ненормальный архив RAR, в котором скрипт PowerShell добавлял вредоносный документ Word, хранящийся внутри архива.
Чтобы способствовать распространению этого опасного архива RAR и его вредоносного содержимого, злоумышленники создали и распространяли спам-электронные письма, в которых жертвам предлагалось распаковать файл RAR для доступа к Word документ.
Так что вам лучше иметь это в виду, имея дело с этим программным обеспечением, и если что-то кажется даже отдаленно подозрительным.
Обеспечение безопасности должно быть приоритетом номер один для всех нас при работе в Интернете. Простые действия, которые сначала могут показаться безобидными, могут вызвать цепочку серьезных событий и последствий.
Были ли вы также жертвой этих атак вредоносного ПО? Поделитесь с нами своим опытом в разделе комментариев ниже.
