|
Как же они заражают компьютеры?Атака выполнена профессионально, используются многоступенчатые схемы заражения. Ключевая особенность атаки – высокая эффективность обхода защитных механизмов. На начальном этапе злоумышленники используют рассылку специально подготовленных текстовых документов (.rtf или .docx), в которых полностью отсутствует вредоносный код. Такие документы содержат специальные фреймы, которые обеспечивают загрузку внешних элементов. При открытии документа (режим разрешенного редактирования) такой фрейм активирует сокращенную ссылку TinyURL, которая прописана в файле webSettings.xml.rels. Данные файлы идут вместе с документом и содержат информацию о взаимодействии различных частей документа. Такой внешний запрос инициирует загрузку дополнительного объекта, который встраивается в открываемый документ. В большинстве случаев такой объект представляет собой RTF-документ, эксплуатирующий уязвимость с кодом CVE-2017-8570. Сервера, с которых загружаются вредоносные документы, физически расположены на территории США и Франции. Уязвимость связана с некорректной обработкой приложениями Microsoft Office определенных объектов в ОЗУ, допуская запуск вредоносных файлов или произвольного кода. Загруженный RTF-файл комплектуется файлом с расширением .sct, который автоматически сохраняется в каталог %TEMP% и сразу запускается. Это приводит к созданию в той же папке файла chris101.exe, который в дальнейшем запускается при помощи Wscript.Shell.Run(). Данный файл снова отправляет запрос на сервер управления, чтобы загрузить другой загрузчик, который и обеспечивает загрузку основного вредоносного файла – шпионскую утилиту FormBook. Вирус способен фиксировать нажатия клавиш, похищать информацию из HTTP-сессий и содержимое буфера обмена. Также может выполнять внешние команды – отключение или перезагрузка ОС, запуск других процессов, кража cookie и паролей, загрузка новых файлов и другие. Как защититься от этой уязвимости?Нужно просто обновить ваш операционную систему и офис с до последних версий. Специалисты отметили, что используемая схема атаки привела к быстрому распространению вируса, хотя используемая уязвимость устранена еще в июле 2017 года. Вероятно, большое количество систем не получили соответствующее обновление. |
Популярные публикацииСамые популярные публикации по теме
|