В таргетированных атаках используется файл PowerPoint

В таргетированных атаках используется файл PowerPoint

Хакеры используют вредоносные файлы PowerPoint и недавно устраненную уязвимость Microsoft Office для атак на министерства иностранных дел, международные организации и организации, взаимодействующие с международными правительствами. Об этом предупреждает Fortinet.

В атаке используется файл с именем ADVANCED DIPLOMATIC PROTOCOL AND ETIQUETTE SUMMIT.ppsx, который эксплуатирует уязвимость CVE-2017-0199, с помощью которой злоумышленники в свое время распространяли вредоносные программы Dridex, WingBird, Latentbot и Godzilla. Даже после устранения этой уязвимости этот эксплойт пользуется популярностью у злоумышленников.

После открытия вредоносного ppsx-файла, запускается скрипт, который загружает код из XML-файла, расположенного в домене narrowbabwe. net. Затем, по словам экспертов Fortinet, код выполняется, используя функцию анимации PowerPoint Show.

Эксплойт также может обойти функцию UAC (контроль учётных записей пользователей) в Windows, путем запуска eventvwr.exe. Такая техника обхода UAC впервые была описана в августе 2016 года.

Интересно, что вредонос маскирует свой файл под легитимный патч для Microsoft Office. По таймеру вредоносный код запускается каждые 12 секунд, при этом он пытается определить, не выполняется ли он в виртуальной среде. Если виртуальная машина не обнаружена, зловред переходит к отправке данных на удаленный сервер.

Исследователи говорят, что ответ командного центра вредоноса (C&C) содержит произвольные команды, выполняемые с помощью функции eval (). После выполнения команд скрипт отправляет уведомление на сервер.

«Командный центр может отдавать команду загрузки вредоносных программ, чаще всего используются шпионские программы» - утверждает Fortinet.

Yandex Zen AMПодписывайтесь на канал "Anti-Malware" в Yandex Zen, чтобы узнавать о новостях и эксклюзивных материалах по информационной безопасности в своей персональной ленте.

Эксперты: Взлом Юнистрим может грозить банку уходом с рынка

Взлом киберпреступниками банка «Юнистрим» не прошел бесследно — некоторые партнеры кредитной организации приняли решение приостановить сотрудничество с «Юнистрим» до окончания расследования киберинцидента. Сообщается, что некоторые контрагенты даже разорвали договоры.

Этот эпизод заставил депутатов Госдумы задуматься о введении принудительных мер, которые бы обязали финансовые организации привлекать к расследованию Центробанк и правоохранительные органы.

Что касается последствий для самого «Юнистрим», отдельные эксперты дают негативные прогнозы — ситуация может обернуться для банка уходом с рынка. Положение «Юнистрим» также усугубляется тем фактом, что это не первая успешная атака на банк в этом году.

После того как ФинЦЕРТ разослал кредитным организациям информацию о вредоносной рассылке с настоящего адреса «Юнистрим», многие банки приостановили сотрудничество с проблемной организацией. Более того, некоторые расторгли договорные отношения.

Особенно остро отреагировали партнеры «Юнистрим» из стран СНГ. Например, Банк Азии из Киргизии, «Имон Интернешнл» из Таджикистана, Ипотека-банк из Узбекистана.

«Когда была предыдущая атака на банк, мы очень существенно снизили лимиты на переводы по "Юнистриму", сейчас же мы до окончательного расследования инцидента в банке приостановили переводы», — передает «Ъ» слова представителя банка топ-30.

Напомним, что 19 ноября Центральный банк России разослал предупреждение о взломе киберпреступниками банка «Юнистрим». В ходе злонамеренной кибероперации атакующие использовали фишинговые схемы, где к электронным письмам была прикреплена вредоносная программа, рассылаемая другим финансовым организациям.

Зафиксировать вредоносную деятельность удалось благодаря ФинЦЕРТ. В ходе своей атаки злоумышленники использовали легальный адрес кредитной организации для рассылки другим банкам вредоносной программы.

Yandex Zen AMПодписывайтесь на канал "Anti-Malware" в Yandex Zen, чтобы узнавать о новостях и эксклюзивных материалах по информационной безопасности в своей персональной ленте.

RSS: Новости на портале Anti-Malware.ru