Новый троян распространяют через Microsoft Word

Троян Vawtrak распространяется через макросы Microsoft Word

Специалисты компании Trend Micro вышли на след хакерской группы, распространяющей банковский троян Vawtrak. ПО инфицирует компьютеры в несколько этапов. Для этого используются документы Microsoft Word с зараженными макросами. В список целей злоумышленников входят банки J.P. Morgan, Bank of America, Lloyd’s Bank, HSBC, Citibank и Barclays.

Хакеры используют несколько техник для маскировки нападения. В первой в документ Microsoft Word добавляется якобы зашифрованная информация, которая расшифровывается только после активации макросов. Вторая заключается в распространении VBScript-файла с обходом ограничений по выполнению задач. Скрипты с обходом могут выполнять файлы без ограничений и подозрений.

Письма с вредоносными файлами отправляют от лица таких сервисов, как FedEx и уведомляют пользователей о получении посылок. Злоумышленники также маскируются под компанию American Airlines и рассылают сообщения о покупке билетов с помощью платёжных карт. Во всех случаях к письмам крепится документ Microsoft Word, который якобы предоставляет больше информации о содержимом сообщения. Когда жертва открывает документ, ей сразу предлагают включить макрос.

Данная функция отключена в софте по умолчанию ведь компонент часто эксплуатируют хакеры. Пользователи, которым нужны макросы для автоматической работы, способны активировать их вручную. В случае с кампанией по распространению Vawtrak макрос содержит команды по скачиванию пакетного, PowerShell и VBS файлов. Пакетный документ запускает VBS, а тот – PowerShell. Последний и загружает троян на систему.

Трёхступенчатая техника заражения используется, чтобы процесс не заметили системы безопасности ПК. В Trend Micro утверждают, что данный вариант Vawtrak считывает логин сведения почтового клиента Microsoft Outlook. Вредоносный софт также интересует информация, которая хранится в браузерах Mozilla Firefox и Google Chrome, FTP клиентах. Анализ трояна показал, что он способен подключатся к веб-браузерам и обходить механизм SSL.

ИИ-браузеры обманули игрой и заставили сливать логины пользователей

Оказывается, современный ИИ можно взломать не только сложным промптом, но и головоломкой. Исследователи из компании LayerX представили технику BioShocking, которая заставляет ИИ-браузеры добровольно воровать данные пользователя. Под удар попали сразу несколько популярных решений, включая ChatGPT Atlas, Perplexity Comet и браузерное расширение Claude от Anthropic.

Суть атаки строится вокруг так называемой косвенной инъекции в промпт. Пользователю достаточно открыть специально подготовленную веб-страницу.

Для человека это обычная игра с абсурдными правилами вроде «2 + 2 = 5». А вот ИИ воспринимает встроенные в страницу инструкции как часть задания и постепенно начинает следовать логике злоумышленника.

Финал игры выглядит так: агенту предлагают получить учётные данные пользователя и передать их атакующему. Во время эксперимента ни один из шести протестированных ИИ не распознал это как опасное действие.

 

В демонстрации LayerX агент самостоятельно открыл рабочий репозиторий GitHub пользователя, получил учётные данные SSH и отправил их злоумышленнику. Исследователи использовали безвредный текстовый файл, однако отмечают, что аналогичным способом можно добраться до открытых вкладок браузера, корпоративных сервисов, внутренних инструментов и других ресурсов.

Самое опасное здесь не сама головоломка, а возможности ИИ в режиме агента. Такие браузеры умеют нажимать кнопки, переходить по ссылкам, читать содержимое сайтов и выполнять действия от имени пользователя. Если агент уже имеет доступ к аккаунтам, вредоносная страница может превратить его в помощника злоумышленника.

 

По данным LayerX, реакция разработчиков оказалась неодинаковой. OpenAI устранила проблему в ChatGPT Atlas. Perplexity, как утверждают исследователи, закрыла отчёт без патча. Anthropic выпустила обновление для расширения Claude, но, по мнению LayerX, оно не решило проблему полностью.

Эксперты считают, что ИИ-браузеры должны запрашивать явное разрешение перед доступом к данным из сервисов. А пользователям советуют не держать агентный режим включённым без необходимости.

RSS: Новости на портале Anti-Malware.ru