Киберпреступники нашли новый способ обхода антивирусов

DOMINUS_EDEM

Прошлый ник Khan
ПРОВЕРЕННЫЙ ПРОДАВЕЦ
Private Club
Старожил
Регистрация
23/1/16
Сообщения
2.067
Репутация
5.626
Реакции
5.872
RUB
0
Депозит
22 000 рублей
Сделок через гаранта
21
Метод эксплуатирует особенности формата RT.​

Эксперты команды Cisco Talos заметили новую кампанию по распространению ряда вредоносных программ, в том числе инфостилеров Agent Tesla, Loki и Gamarue, способных извлекать информацию из различных приложений, например, Google Chrome, Mozilla Firefox, Microsoft Outlook и пр.

Отличительная особенность операции заключается в использовании модифицированного процесса эксплуатации известных уязвимостей в Microsoft Word ( CVE-2017-0199 и CVE-2017-11882 ), позволяющего инфицировать систему, не привлекая внимания антивирусов.

На первом этапе злоумышленники рассылают вредоносные документы MS Word, содержащие RTF файл. Именно он загружает конечный вредоносный модуль, не вызывая подозрений со стороны защитных решений. По словам специалистов, только 2 из 58 антивирусов сочли файл подозрительным, при этом они всего лишь предупреждали, что документ неправильно отформатирован.

Атака эксплуатирует особенности формата RT, который поддерживает возможность встраивания объектов с помощью технологии Object Linking and Embedding (OLE) и использует большое количество управляющих слов для определения содержащегося контента. Обычно парсеры RTF игнорируют неизвестное содержимое, тем самым предоставляя отличную возможность скрыть эксплоит. В итоге для запуска кода злоумышленникам не нужно заставлять пользователя менять настройки в Microsoft Word или нажимать на какие-либо опции.

Кроме прочего, для сокрытия вредоносного документа от обнаружения злоумышленники меняют значения заголовка OLE-объекта, добавляя данные, которые выглядят как тег <FONT>, но на деле являются эксплоитом для уязвимости CVE-2017-11882 в Microsoft Office.

Подробнее:
 
  • Теги
    ms word rtf антивирус хищение данных
  • Сверху Снизу