Специалисты Menlo Security изучили серию кибератак на компании в США и Ближнем Востоке. Масштабная атака началась в мае и была направлена на сферу информационных услуг и финансовый сектор.
tsar slowpoke
|
Как же они заражают компьютеры?
Атака выполнена профессионально, используются многоступенчатые схемы заражения. Ключевая особенность атаки – высокая эффективность обхода защитных механизмов.
На начальном этапе злоумышленники используют рассылку специально подготовленных текстовых документов (.rtf или .docx), в которых полностью отсутствует вредоносный код.
Такие документы содержат специальные фреймы, которые обеспечивают загрузку внешних элементов. При открытии документа (режим разрешенного редактирования) такой фрейм активирует сокращенную ссылку TinyURL, которая прописана в файле webSettings.xml.rels. Данные файлы идут вместе с документом и содержат информацию о взаимодействии различных частей документа.
Такой внешний запрос инициирует загрузку дополнительного объекта, который встраивается в открываемый документ.
В большинстве случаев такой объект представляет собой RTF-документ, эксплуатирующий уязвимость с кодом CVE-2017-8570. Сервера, с которых загружаются вредоносные документы, физически расположены на территории США и Франции.
Уязвимость связана с некорректной обработкой приложениями Microsoft Office определенных объектов в ОЗУ, допуская запуск вредоносных файлов или произвольного кода.
Загруженный RTF-файл комплектуется файлом с расширением .sct, который автоматически сохраняется в каталог %TEMP% и сразу запускается. Это приводит к созданию в той же папке файла chris101.exe, который в дальнейшем запускается при помощи Wscript.Shell.Run().
Данный файл снова отправляет запрос на сервер управления, чтобы загрузить другой загрузчик, который и обеспечивает загрузку основного вредоносного файла – шпионскую утилиту FormBook. Вирус способен фиксировать нажатия клавиш, похищать информацию из HTTP-сессий и содержимое буфера обмена. Также может выполнять внешние команды – отключение или перезагрузка ОС, запуск других процессов, кража cookie и паролей, загрузка новых файлов и другие.
Как защититься от этой уязвимости?
Нужно просто обновить ваш операционную систему и офис с до последних версий.
Специалисты отметили, что используемая схема атаки привела к быстрому распространению вируса, хотя используемая уязвимость устранена еще в июле 2017 года. Вероятно, большое количество систем не получили соответствующее обновление.