Как же они заражают компьютеры?

Атака выполнена профессионально, используются многоступенчатые схемы заражения. Ключевая особенность атаки – высокая эффективность обхода защитных механизмов.

На начальном этапе злоумышленники используют рассылку специально подготовленных текстовых документов (.rtf или .docx), в которых полностью отсутствует вредоносный код.

Такие документы содержат специальные фреймы, которые обеспечивают загрузку внешних элементов. При открытии документа (режим разрешенного редактирования) такой фрейм активирует сокращенную ссылку TinyURL, которая прописана в файле webSettings.xml.rels. Данные файлы идут вместе с документом и содержат информацию о взаимодействии различных частей документа.

Такой внешний запрос инициирует загрузку дополнительного объекта, который встраивается в открываемый документ.

В большинстве случаев такой объект представляет собой RTF-документ, эксплуатирующий уязвимость с кодом CVE-2017-8570. Сервера, с которых загружаются вредоносные документы, физически расположены на территории США и Франции.

Уязвимость связана с некорректной обработкой приложениями Microsoft Office определенных объектов в ОЗУ, допуская запуск вредоносных файлов или произвольного кода.

Загруженный RTF-файл комплектуется файлом с расширением .sct, который автоматически сохраняется в каталог %TEMP% и сразу запускается. Это приводит к созданию в той же папке файла chris101.exe, который в дальнейшем запускается при помощи Wscript.Shell.Run().

Данный файл снова отправляет запрос на сервер управления, чтобы загрузить другой загрузчик, который и обеспечивает загрузку основного вредоносного файла – шпионскую утилиту FormBook. Вирус способен фиксировать нажатия клавиш, похищать информацию из HTTP-сессий и содержимое буфера обмена. Также может выполнять внешние команды – отключение или перезагрузка ОС, запуск других процессов, кража cookie и паролей, загрузка новых файлов и другие.

Как защититься от этой уязвимости?

Нужно просто обновить ваш операционную систему и офис с до последних версий.

Специалисты отметили, что используемая схема атаки привела к быстрому распространению вируса, хотя используемая уязвимость устранена еще в июле 2017 года. Вероятно, большое количество систем не получили соответствующее обновление.