События

Вредоносное ПО FormBook распространяется посредством вложений в Word

Исследователи безопасности из компании Menlo Security зафиксировали новую вредоносную кампании с использованием программы для хищения паролей FormBook, распространяемой посредством вредоносного вложения в документах Microsoft Word. Об этом сообщает издание Threatpost.

По словам исследователей, новая волна атак нацелена преимущественно на сектор финансовых и информационных услуг на Ближнем Востоке и в США. Особенностью данной кампании является то, что для активации вредоноса не требуется макрос. Помимо этого, программа может избегать решений безопасности, таких как песочницы и антивирусное ПО, путем сокрытия вредоносного контента. Также примечательно отсутствие активного кода в первичном вредоносном документе, поскольку данная атака основана на загрузке удаленного вредоносного объекта.

Злоумышленники используют новый многоступенчатый метод заражения. Первым этапом атаки является рассылка фишинговых писем с прикрепленным файлом .docx, использующим Framesets (теги HTML, ответственные за загрузку документов). Если жертва открывает вредоносный документ, Microsoft Word делает HTTP-запрос для загрузки объекта, на который указывает скрытый URL-адрес, и отображает его в документе.

При просмотре в режиме редактирования (а не в защищенном, установленном по умолчанию), внедренный тег указывает на сокращенный URL, определенный в файле webSettings.xml.rels документа. URL указывает на расположенные во Франции и США C&C-серверы, с которых загружается вредоносный RTF-файл.

«Когда открыт документ RTF со встроенным объектом, данный объект автоматически переносится в папку %TEMP% в Windows. Подобный метод также использовался членами хакерской группировки Cobalt», - отметили специалисты.

Как выяснили исследователи, в новых атаках злоумышленники эксплуатируют уязвимость CVE-2017-8570, позволяющую удаленно выполнить код в Microsoft Office.

«Когда файл .sct выполняется, большой объем данных записывается в каталог %TEMP% с именем chris101.exe. Затем метод Wscript.Shell.Run () запускает вредоносный исполняемый файл», - добавили эксперты.

Далее вредоносный исполняемый файл обращается C&C-серверам злоумышленников и загружает вредоносное ПО FormBook на целевую систему.

FormBook - вредоносная программа с возможностью регистрации нажатия клавиш, кражи содержимого буфера обмена и извлечения данных из сеансов HTTP. Она также может выполнять команды, поступающие с C&C-серверов. Вредоносное ПО можно настроить на загрузку и выполнение файлов, запуск процессов, завершение работы и перезагрузку системы, а также хищение файлов cookie и локальных паролей.

Источник

Автор: Сергей Куприянов
10.04.2018 (12:07)
Пройди тест и узнай об этом!
Информер новостей
Расширение для Google Chrome
Пишите нам

Редакция: info@alterprogs.ru

Реклама: adv@alterprogs.ru

Все права защищены © 2010-2018

"Alterprogs.ru" - технологии будущего

Контакты  | Карта сайта

Использование любых материалов, размещенных на сайте, разрешается при условии ссылки на alterprogs.ru. Для интернет-изданий - обязательна прямая открытая для поисковых систем гиперссылка. Ссылка должна быть размещена в независимости от полного либо частичного использования материалов. Материалы в рубрике "Новости партнеров" публикуются на правах рекламы.