Хакери використовують патч Microsoft Office для крадіжки ваших особистих даних

  • Зловмисники знайшли новий шлях у вашому комп’ютері, залишивши всі ваші дані відкритими.
  • Цього разу винахідливі кіберзлочинці скористалися критичним виправленням Microsoft Office.
офісний експлойт

У цьому постійно зростаючому та постійно мінливому онлайн-світі загрози стали настільки поширеними, їх так важко виявити, що залишатися захищеним – це лише питання залишатися на крок попереду зловмисників.

Нові результати дослідження опублікувала фірма з кібербезпеки Sophos, показують, що треті сторонні зловмисники змогли скористатися загальнодоступним доказом концепції експлойту Office і використати його для доставки шкідливого програмного забезпечення Formbook.

Імовірно, кіберзлочинцям насправді вдалося створити експлойт, здатний обійти критичну вразливість віддаленого виконання коду в Microsoft Office, яку було виправлено на початку цього року.

Зловмисники обходять критичний патч Microsoft Office за допомогою експлойта

Вам не потрібно так довго повертатися в минуле, щоб зрозуміти, з чого все почалося. Ще у вересні Microsoft випустила виправлення, яке запобігає зловмисникам виконувати шкідливий код, вбудований у документ Word.

Завдяки цьому недоліку автоматично завантажуватиметься архів Microsoft Cabinet (CAB), що містить шкідливий виконуваний файл.

Це було досягнуто шляхом переробки оригінального експлойту та розміщення шкідливого документа Word усередині a спеціально створений архів RAR, який представляв форму експлойту, здатного успішно уникнути оригінальний патч.

Крім того, цей останній експлойт доставлявся його жертвам за допомогою спаму протягом приблизно 36 годин, перш ніж він повністю зник.

Дослідники безпеки з Sophos вважають, що обмежений термін експлуатації експлойту може означати, що це був експеримент «сухий запуск», який можна було б використовувати в майбутніх атаках.

Версії атаки перед встановленням виправлення включали шкідливий код, запакований у файл Microsoft Cabinet. Коли виправлення Microsoft закрило цю лазівку, зловмисники виявили підтвердження концепції, яке показало, як можна об’єднати шкідливе програмне забезпечення в інший стиснутий формат файлу, архів RAR. Раніше для розповсюдження шкідливого коду використовувалися архіви RAR, але цей процес був надзвичайно складним. Ймовірно, це вдалося лише тому, що сфера повноважень виправлення була дуже вузько визначена і тому, що програма WinRAR, яку користувачі повинні відкрити RAR дуже відмовостійкий і, здається, не заперечує, якщо архів неправильно сформований, наприклад, тому що він був підроблений.

Було також виявлено, що відповідальні зловмисники створили ненормальний архів RAR, у якому був сценарій PowerShell, який передував шкідливий документ Word, що зберігався всередині архіву.

Щоб допомогти поширити цей небезпечний архів RAR та його шкідливий вміст, зловмисники створили і розповсюджував спам-повідомлення, які пропонували жертвам розпакувати файл RAR, щоб отримати доступ до Word документ.

Тому вам краще пам’ятати про це, коли маєте справу з цим програмним забезпеченням і якщо щось здається навіть віддалено підозрілим.

Безпека має бути пріоритетом номер один для всіх нас, коли маємо справу з Інтернетом. Прості дії, які спочатку можуть здатися нешкідливими, можуть викликати серйозні ланцюги подій і наслідків.

Ви також були жертвою цих атак зловмисного програмного забезпечення? Поділіться з нами своїм досвідом у розділі коментарів нижче.

Що таке Ліванлетді і як його видалити назавжди

Що таке Ліванлетді і як його видалити назавждиЗловмисне програмне забезпечення

Livanletdi.exe - хитра шкідлива програма, яку неможливо легко ідентифікувати навіть за допомогою деяких антивірусів.Практичний підхід може бути складним, тому виконайте наведені нижче дії до листа....

Читати далі
5+ найкращих програм для боротьби з кейлоггерами [Windows 10 і Mac]

5+ найкращих програм для боротьби з кейлоггерами [Windows 10 і Mac]Зловмисне програмне забезпеченняанти кейлоггер

ESET Internet Security ідеально підходить для будь-якого сучасного користувача, який турбується про свою конфіденційність, коли він використовує Інтернет для покупки, роботи, спілкування, здійсненн...

Читати далі
Astaroth стає потужнішим, використовуючи канали YouTube для C2

Astaroth стає потужнішим, використовуючи канали YouTube для C2Зловмисне програмне забезпеченняКібербезпека

Astaroth все ще покладається на електронні кампанії для розповсюдження, і він виконується без файлів, але також отримав три нові основні оновлення.Одним з них є нове використання каналів YouTube дл...

Читати далі