avatar_alexsf

Зафиксирована новая многоступенчатая атака через Word

Автор alexsf, 20-02-2018, 20:07

« назад - далее »

0 Пользователи и 1 гость просматривают эту тему.

Печать
Вниз Страницы1
Действия пользователя

alexsfTopic starter

20-02-2018, 20:07
Guests are not allowed to view images in posts, please You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Эксперты Trustwave обнаружили новую спам-кампанию, в рамках которой злоумышленники используют документы Microsoft Word для доставки крадущего пароли зловреда, пишет You are not allowed to view links. Register or Login.

По словам экспертов, в данном случае распространители вредоносного ПО полагаются не на макросы Microsoft Office, а на OLE-функциональность, позволяющую запустить сложную цепочку заражения.

Исследователи зафиксировали несколько тем поддельных писем с вредоносными вложениями, распространяемых злоумышленниками. Такие сообщения могут быть замаскированы под выписку из банковского счета, запрос оферты, телексное уведомление или SWIFT-копию балансового платежа. По всей видимости, за этой спам-кампанией стоит одна и та же криминальная группа, которая, впрочем, может сменить шаблоны в любую минуту.

При открытии вложения в формате .docx, содержащего встроенный OLE-объект с внешними ссылками, происходит загрузка и запуск вредоносного rtf-файла, снабженного вводящим в заблуждение расширением .doc. Анализ показал, что этот файл нацелен на эксплуатацию уязвимости You are not allowed to view links. Register or Login в Office Equation Editor. В результате отработки эксплойта с удаленного сервера на машину жертвы загружается и запускается на исполнение hta-файл — с помощью командной строки MSHTA.

Этот файл содержит VBScript с обфусцированным кодом; его декодирование обнаружило скрипт PowerShell, единственным назначением которого является загрузка из внешнего источника и установка целевого PSW-зловреда. Последний, по словам экспертов, способен воровать пароли, сохраненные в браузерах, ftp-клиентах и почтовых программах. Украденные данные в итоге выгружаются на удаленный сервер злоумышленников.

Microsoft пропатчила CVE-2017-11882 еще в ноябре, однако после публикации эта уязвимость начала активно применяться в атаках. Так, из известных случаев за истекший период ею воспользовались хакерская группировка Cobalt и распространители таких зловредов, как троян TelegramRAT и многофункциональный бэкдор Zyklon.

You are not allowed to view links. Register or Login
Guests are not allowed to view images in posts, please You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Guests are not allowed to view images in posts, please You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Guests are not allowed to view images in posts, please You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

В одни руки выдаем любой 1 ключ. Всего 1 любой ключ.

Следующий ключ не ранее, чем за 3 дня до окончания лицензии.

Есть ключи на Norton AntiVirus Plus 2023 1 ПК / до 10.2024 You are not allowed to view links. Register or Login

Есть Не активы для NS и NSBU на 90 дней

You are not allowed to view links. Register or Login
Печать
Вверх Страницы1
Действия пользователя
🡱 🡳

* Ваши права в разделе

  • Вы не можете создавать новые темы.
  • Вы не можете отвечать в темах.
  • Вы не можете прикреплять вложения.
  • Вы не можете изменять свои сообщения.