Киберпреступники маскируют вредоносную программу под продукт Trend Micro

Киберпреступники маскируют вредоносную программу под продукт Trend Micro

 Как известно, киберпреступники нередко маскируют вредоносные программы под различные приложения, обеспечивающие защиту компьютеров от киберугроз. Для реализации одной из последних кампаний, раскрытых специалистами Trend Micro, киберпреступники замаскировали вредоносную программу под названием TROJ_RIMECUD.AJL под якобы новый продукт компании Trend Micro.

Изначальный файл olibo.exe, содержащий вредоносную программу, описан как новый продукт Trend Micro, сочетающий в себе функции антивируса и антишпиона. Попадая на компьютер жертвы, вредоносная программа внедряет вредоносный код в процесс svchost.exe и загружает набор вредоносных компонентов.

Изображение

 

 

Этот набор содержит вредонос, позволяющий злоумышленникам опустошать счета жертв в системе Bitcoin. Вредонос, идентифицированный как HKTL_BITCOINMINE, очевидно, разработан Ufasoft.

Компьютеры, зараженные таким набором вредоносных программ, попросту грабят пользователей Bitcoin.

Подобные типы киберугроз «съедают» очень много системных ресурсов, поэтому пользователям, которые замечают внезапное замедление работы компьютера, эксперты советуют проверить систему на наличие подозрительных приложений, которые вполне могут работать в фоновом режиме.

В ONLYOFFICE нашли цепочку уязвимостей: достаточно открыть один файл

Эксперты BI.ZONE обнаружили в ONLYOFFICE Desktop Editors цепочку уязвимостей OnlyShells, которая позволяла атакующему выполнить произвольный код и повысить привилегии в Windows. Жертве достаточно открыть специально подготовленный офисный документ.

Никаких макросов, кнопок «Разрешить содержимое» и долгих уговоров — атака относится к классу 1-click.

Сначала злоумышленник мог использовать сразу несколько уязвимостей для запуска своего кода в системе. Затем ещё одна проблема позволяла повысить права до привилегированного пользователя. В результате атакующий получал максимально широкий доступ к компьютеру.

Причиной стали недостаточная проверка пользовательских данных и устаревшие зависимости. Отдельным уязвимостям присвоили оценки до 6,4 по шкале CVSS 3.1, но в связке их опасность заметно возрастала.

По оценке BI.ZONE TDR, ONLYOFFICE используют около 30% российских компаний. Сам разработчик заявляет о более чем 15 млн пользователей по всему миру.

В BI.ZONE отмечают, что современные средства защиты могут не заметить сам момент эксплуатации цепочки. То есть пользователь просто открывает документ, а дальше система уже начинает жить немного не своей жизнью.

Разработчика уведомили в рамках ответственного раскрытия, после чего он выпустил исправление. Пользователям рекомендуют обновить ONLYOFFICE Desktop Editors до версии 9.3.0.

RSS: Новости на портале Anti-Malware.ru