Эксплойт для Microsoft PowerPoint обходит антивирус и распространяет вредоносное ПО

Впервые эксплойт нацелен на пользователей PowerPoint, распространяя мощный троян, говорят исследователи.



Киберпресупники используют уязвимость, чтобы избежать обнаружения антивирусом и доставляют вредоносные программы через Microsoft PowerPoint.

Для распространения вредоносных файлов Microsoft Office злоумышленники используют уязвимость Windows Link Linking and Embedding (OLE).

Эксплойт обычно использовался для доставки зараженных документов Rich Text File (.RTF), но исследователи кибербезопасности из Trend Micro обнаружили, что теперь злоумышленники используют его для компрометации файлов слайд-шоу PowerPoint.

Как и в большинстве хакерских кампаний, эта атака начинается с целевого фишинга через электронную почту. Сообщение отправлено, якобы, от поставщика кабельной продукции и нацелено на организации, работающие в области производства электроники.

Адрес отправителя замаскирован под сообщение от делового партнера. Письмо, якобы, связано с запросом по заказу, а приложение, якобы, содержит информацию о доставке.

Вложение содержит вредоносное слайд-шоу PowerPoint, которое при открытии просто отображает текст «CVE-2017-8570» (ссылка на другую уязвимость Microsoft Office, используемую в этой атаке).

Вредоносный файл запускает эксплойт уязвимости CVE-2017-0199, который инициализирует процесс заражения и приводит к запуску вредоносного кода с использованием анимации PowerPoint Show, которая в случае успеха загружает документ logo.

Загруженный logo.doc содержит XML и код JavaScript, который открывает PowerShell для запуска файла под названием «RATMAN.EXE» — троян-версии средства удаленного доступа Remcos, который затем подключается к серверу команд и управления.

После запуска на системе Remcos может совершать множество криминальных операций: кейлоггинг, скринлогинг, запись с веб-камеры и микрофона, а также загрузку и выполнение дополнительных вредоносных программ. В конечном счете, это может дать злоумышленнику почти полный контроль над зараженной машиной, ничего не подозревающего владельца.

Исследователи отмечают, что образец, стоящий за этой атакой, использует NET protector, который включает в себя несколько защит и обфускаций, чтобы осложнить исследователям процесс реверс-инжиниринга. Это указывает на высокий уровень атакующих, а значит это не любительская кампания.

Большинство методов обнаружения уязвимости CVE-2017-0199 сосредоточены на RTF-атаке, а использование PPSX PowerPoint в качестве вектора атаки означает, что злоумышленники могут избежать обнаружения антивирусом.

К счастью, есть способ как не стать жертвой этой атаки. Microsoft выпустила патчи для устранения уязвимости в апреле, и любые обновленные системы, находятся в безопасности.
Тем не менее, пользователи должны оставаться в курсе рисков, связанных с фиктивными электронными.

«Случаи, подобные этому, подчеркивают необходимость осторожности пользователей при открытии файлов или нажатии на ссылки в письмах, даже если они исходят из легитимных источников. Попытки фишинга могут быть довольно сложными и, как видно из этого примера, могут обманом заставить большинство пользователей загрузить вредоносные файлы», напомнили исследователи TrendMicro Ронни Гигоне и Рубио Ву.

Существуют различные методы, которые организации могут использовать для защиты от этих атак, при этом обучение персонала играет ключевую роль.

Подпишитесь на нашу еженедельную новостную рассылку!

Все наши новости вы получите по электронной почте раз в неделю, а Ваши личные данные останутся в безопасности. При необходимости вы сможете отписаться от рассылки в любой момент и в один клик.

Электронная почта

Имя пользователя

  • editor,
  • 468
  • 0

Читайте также