• Home
• Short News
• Long News
• Long Reads
• Support
• Library
• blogs
• links
• Полная версия сайта

Новая спам-атака на пользователей Microsoft Office

Зафиксирован всплеск спам-рассылок, нацеленных на засев трояна через эксплуатацию уязвимости CVE-2017-11882.

Последние пару недель исследователи из Microsoft наблюдают активизацию спам-рассылок, нацеленных на эксплуатацию уязвимости CVE-2017-11882. Зловредные письма, по всей видимости, ориентированы на жителей европейских стран, так как они оформлены на разных языках, используемых в Евросоюзе.

Уязвимость, грозящая выполнением вредоносного кода, появилась в Microsoft Office из-за неудачной реализации редактора формул сторонней разработки. Она была пропатчена полтора года назад, а потом Microsoft и вовсе удалила эту функциональность из своих офисных программ, предложив пользователям достойную альтернативу. Тем не менее, соответствующий эксплойт, видимо, все еще эффективен: он до сих пор держит первенство по популярности у авторов атак и лидирует в рейтинге вредоносных вложений в спам.

В ходе текущей спам-кампании злоумышленники распространяют вредоносный документ RTF, который достаточно просто открыть, чтобы запустить загрузку и выполнение различных скриптов (VBScript, PowerShell, PHP). В Bleeping Computer проверили одно из таких вложений — при его открытии с Pastebin загрузился сценарий, который выполнил PowerShell-команду на загрузку целевого исполняемого файла (bakdraw.exe). Для его запуска и закрепления в системе создается запланированное задание с именем SystemIDE.

По свидетельству Microsoft, файл bakdraw.exe является бэкдором, который после запуска пытается установить связь с командным сервером. В настоящее время запрашиваемый им домен заблокирован, однако злоумышленники могут в любой момент перенести центр управления и обновить зловреда.

In the new campaign, the RTF file downloads and runs multiple scripts of different types (VBScript, PowerShell, PHP, others) to download the payload. The backdoor payload then tries to connect to a malicious domain that’s currently down.

— Microsoft Security Intelligence (@MsftSecIntel) June 7, 2019

Ваш голос учтён!

нравится

не нравится

Рейтинг:

0

Всего голосов: 0

Новые материалы в Разное:

RuStore открыл доступ иностранным разработчикам   // 08 февраля

CISA опубликовало декриптор в помощь жертвам шифровальщика ESXiArgs   // 08 февраля

Google обещает блюрить непристойные и жестокие картинки поиска   // 08 февраля

Бизнес предлагает продавать алкоголь по 2FA   // 08 февраля