- Зловмисники знайшли новий шлях у вашому комп’ютері, залишивши всі ваші дані відкритими.
- Цього разу винахідливі кіберзлочинці скористалися критичним виправленням Microsoft Office.
У цьому постійно зростаючому та постійно мінливому онлайн-світі загрози стали настільки поширеними, їх так важко виявити, що залишатися захищеним – це лише питання залишатися на крок попереду зловмисників.
Нові результати дослідження опублікувала фірма з кібербезпеки Sophos, показують, що треті сторонні зловмисники змогли скористатися загальнодоступним доказом концепції експлойту Office і використати його для доставки шкідливого програмного забезпечення Formbook.
Імовірно, кіберзлочинцям насправді вдалося створити експлойт, здатний обійти критичну вразливість віддаленого виконання коду в Microsoft Office, яку було виправлено на початку цього року.
Зловмисники обходять критичний патч Microsoft Office за допомогою експлойта
Вам не потрібно так довго повертатися в минуле, щоб зрозуміти, з чого все почалося. Ще у вересні Microsoft випустила виправлення, яке запобігає зловмисникам виконувати шкідливий код, вбудований у документ Word.
Завдяки цьому недоліку автоматично завантажуватиметься архів Microsoft Cabinet (CAB), що містить шкідливий виконуваний файл.
Це було досягнуто шляхом переробки оригінального експлойту та розміщення шкідливого документа Word усередині a спеціально створений архів RAR, який представляв форму експлойту, здатного успішно уникнути оригінальний патч.
Крім того, цей останній експлойт доставлявся його жертвам за допомогою спаму протягом приблизно 36 годин, перш ніж він повністю зник.
Дослідники безпеки з Sophos вважають, що обмежений термін експлуатації експлойту може означати, що це був експеримент «сухий запуск», який можна було б використовувати в майбутніх атаках.
Версії атаки перед встановленням виправлення включали шкідливий код, запакований у файл Microsoft Cabinet. Коли виправлення Microsoft закрило цю лазівку, зловмисники виявили підтвердження концепції, яке показало, як можна об’єднати шкідливе програмне забезпечення в інший стиснутий формат файлу, архів RAR. Раніше для розповсюдження шкідливого коду використовувалися архіви RAR, але цей процес був надзвичайно складним. Ймовірно, це вдалося лише тому, що сфера повноважень виправлення була дуже вузько визначена і тому, що програма WinRAR, яку користувачі повинні відкрити RAR дуже відмовостійкий і, здається, не заперечує, якщо архів неправильно сформований, наприклад, тому що він був підроблений.
Було також виявлено, що відповідальні зловмисники створили ненормальний архів RAR, у якому був сценарій PowerShell, який передував шкідливий документ Word, що зберігався всередині архіву.
Щоб допомогти поширити цей небезпечний архів RAR та його шкідливий вміст, зловмисники створили і розповсюджував спам-повідомлення, які пропонували жертвам розпакувати файл RAR, щоб отримати доступ до Word документ.
Тому вам краще пам’ятати про це, коли маєте справу з цим програмним забезпеченням і якщо щось здається навіть віддалено підозрілим.
Безпека має бути пріоритетом номер один для всіх нас, коли маємо справу з Інтернетом. Прості дії, які спочатку можуть здатися нешкідливими, можуть викликати серйозні ланцюги подій і наслідків.
Ви також були жертвою цих атак зловмисного програмного забезпечення? Поділіться з нами своїм досвідом у розділі коментарів нижче.
