Microsoft: Вредоносные документы Office устанавливают прокси

Олег Иванов 01 Сентября 2016 - 18:12

Домашние пользователи

Windows

Microsoft

Защита персональных данных

Кибершпионаж

...

Microsoft: Вредоносные документы Office устанавливают прокси

Документы Microsoft Office уже давно используются для установки вредоносных программ на компьютеры пользователей. Однако злоумышленники, похоже, теперь начали использовать их для установки прокси.

Microsoft обнаружили новую атаку, которая использует функционал OLE для загрузки вредоносного контента на компьютеры пользователей. Метод далеко не новый, Microsoft уже описывали его использование.

Как объясняют эксперты Microsoft Олден Порнасдоро (Alden Pornasdoro) и Винсент Тиу (Vincent Tiu), цель этой атаки состоит в том, чтобыизменить настройки прокси в браузере пользователя. Таким образом, злоумышленники смогут похитить учетные данные или другую конфиденциальную информацию.

На данный момент этот вредонос, написанный на JavaScript, детектируется как Trojan:JS/Certor.A и распространяется через email-письма с прикрепленными к ним вредоносными документами Office. Документы представляют собой файлы .docx, содержащие OLE-объект, что значит, что по двойному клику запустится скрипт. Вредонос пытается замаскироваться меняя иконку на что-то, что напоминает счет или квитанцию.

Вредоносный скрипт обфусцирован, чтобы скрыть код. Деобфускация показывает, что содержимым являются PowerShell-скрипты и собственный сертификат, используемый для мониторинга HTTPS-контента и трафика.

После двойного клика скрипт помещает несколько компонентов в папку %Temp% и затем запускает их. Файл cert.der используется в качестве сертификата для мониторинга трафика, в то время как файл ps.ps1 отвечает за обеспечение того, чтобы сертификат был установлен на зараженном устройстве.

Существует также файл psf.ps1, отвечающий за добавление сертификата в Firefox, так как этот браузер использует собственное хранилище сертификатов, отмечает Microsoft. Файл pstp.ps1 отвечает за установку Tor-клиента, планировщика задач и Proxifier. По-видимому, это тоже часть методики по настройке прокси браузера.

Затем, чтобы изменить настройки прокси в Internet Explorer, скрипт вносит изменения в ключ реестра HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings, устанавливая значение AutoConfigURL как http://pysvonjm6a7idbkz(.)onion/rejtyahf.js?ip=<host ip address>.

«Благодаря новой схеме злоумышленники могут перенаправлять пользователей на определенные сайты, которые вполне могут оказаться фишинговыми или рекламными. Таким образом, любая конфиденциальная информация пользователя, особенно учетные данные, могут попасть в руки злоумышленников» - говорят исследователи компании Microsoft.

Пользователям рекомендуется не открывать вложений, полученных с письмами из непроверенных источников. Администраторы могут изменить ключ реестра, чтобы OLE-объекты не выполнялись: HKCU\Software\Microsoft\Office\<Office Version>\<Office application>\Security\PackagerPrompt значение должно быть установлено на 2, это отключит выполнение OLE-объектов.

Следующая главная новость »

Публичное облако 2026: где заканчивается удобство и начинаются риски?
Регистрируйтесь на эфир!

Яков Шпунт 01 Июня 2026 - 15:21

Корпорации Государство

К 2031 году российский ИБ-рынок превысит 1 трлн рублей

По прогнозу Центра стратегических разработок (ЦСР), к 2031 году объём российского рынка кибербезопасности может превысить 1 трлн рублей при сохранении текущих тенденций. В 2025 году рынок ИБ достиг 364,4 млрд рублей, что на 16% выше уровня 2024 года.

По оценке аналитиков ЦСР, отрасль постепенно переходит от экстренного импортозамещения к более взвешенному выбору решений, архитектур и сервисных моделей.

Как отметили опрошенные «Коммерсантом» эксперты, со стороны заказчиков усилился запрос на эффективность и окупаемость затрат на ИБ.

По оценкам ЦСР, до 2031 года среднегодовые темпы роста рынка составят 19,4%. В результате к этому сроку он почти утроится и достигнет 1,15 трлн рублей.

Как и прежде, основной объём ИБ-рынка формируют средства сетевой безопасности. При этом сегменты инфраструктурной и прикладной безопасности, защиты данных, а также управления доступом растут быстрее. Кроме того, спрос всё заметнее смещается в сторону сервисов ИБ по моделям MSSP, MDR и SOC-as-a-Service.

Как прокомментировал заместитель директора группы компаний BI.ZONE Константин Левин, темпы роста замедляются, но остаются двузначными. Среди драйверов рынка он назвал не только импортозамещение, но и рост угроз, регуляторное давление и спрос бизнеса на киберустойчивость. К перегретым сегментам Левин отнёс NGFW и EDR, где уже работает большое количество компаний и где, по его оценке, неизбежна консолидация.

Среди недооценённых направлений он выделил безопасность сервисов с искусственным интеллектом и машинным обучением, управление поверхностью атак, а также инструменты управления привилегированными и машиночитаемыми учётными данными.

«Заказчики переходят от быстрой замены отдельных решений к осознанному выбору архитектуры, поставщиков и сервисных моделей», — прокомментировали в ГК «Солар». Основным драйвером рынка там назвали спрос на реальную киберустойчивость.

Заместитель генерального директора Positive Technologies Максим Филиппов подчеркнул, что компании стали жёстче оценивать проекты с точки зрения практического результата и возврата инвестиций. Также заметной стала тенденция смещения фокуса с импортозамещения как самоцели на прикладную эффективность решений. В ближайшие годы, по его оценке, темпы роста будут умеренными, а рынок будут определять консолидация, спрос на интегральные платформы и решения.

Вице-президент по развитию бизнеса «Лаборатории Касперского» в России и странах СНГ Анна Кулашова отмечает, что российский рынок растёт на уровне мирового — на 10–12% в год. Его динамику определяют расширение поверхности атак, рост цифровизации и геополитическая напряжённость.

Публичное облако 2026: где заканчивается удобство и начинаются риски?
Регистрируйтесь на эфир!