DOBERMANN
Гай Ричи
MrLoot
Frank Vinci
atmservice
probiv

Новость Киберпреступники нашли новый способ обхода антивирусов

DOMINUS

«EDEM CORP» - Старейший сервис Даркнета
Старший модератор
Модератор
Проверенный продавец
Legend user

DOMINUS

«EDEM CORP» - Старейший сервис Даркнета
Старший модератор
Модератор
Проверенный продавец
Legend user
Статус
Offline
Регистрация
20 Дек 2015
Сообщения
4,777
Реакции
426
Депозит
3.000р
Покупки через Гарант
0
Продажи через Гарант
12
Метод эксплуатирует особенности формата RT.​

Эксперты команды Cisco Talos заметили новую кампанию по распространению ряда вредоносных программ, в том числе инфостилеров Agent Tesla, Loki и Gamarue, способных извлекать информацию из различных приложений, например, Google Chrome, Mozilla Firefox, Microsoft Outlook и пр.

Отличительная особенность операции заключается в использовании модифицированного процесса эксплуатации известных уязвимостей в Microsoft Word ( CVE-2017-0199 и CVE-2017-11882 ), позволяющего инфицировать систему, не привлекая внимания антивирусов.

На первом этапе злоумышленники рассылают вредоносные документы MS Word, содержащие RTF файл. Именно он загружает конечный вредоносный модуль, не вызывая подозрений со стороны защитных решений. По словам специалистов, только 2 из 58 антивирусов сочли файл подозрительным, при этом они всего лишь предупреждали, что документ неправильно отформатирован.

Атака эксплуатирует особенности формата RT, который поддерживает возможность встраивания объектов с помощью технологии Object Linking and Embedding (OLE) и использует большое количество управляющих слов для определения содержащегося контента. Обычно парсеры RTF игнорируют неизвестное содержимое, тем самым предоставляя отличную возможность скрыть эксплоит. В итоге для запуска кода злоумышленникам не нужно заставлять пользователя менять настройки в Microsoft Word или нажимать на какие-либо опции.

Кроме прочего, для сокрытия вредоносного документа от обнаружения злоумышленники меняют значения заголовка OLE-объекта, добавляя данные, которые выглядят как тег <FONT>, но на деле являются эксплоитом для уязвимости CVE-2017-11882 в Microsoft Office.

 
Сверху