Эксплойт для Flash атакует пользователей зараженными документами Office

Эксплойт для Flash атакует пользователей зараженными документами Office

Эксплойт для Flash атакует пользователей зараженными документами Office

Эксплойт-билдер ThreadKit использует недавно пропатченный баг Adobe Flash для спама зараженными документами Microsoft Office. Первые вредоносные рассылки были замечены исследователями из Proofpoint более полугода назад. Adobe выпустила исправленный патч в феврале 2018-го, что на время остановило деятельность ThreadKit. Но пользователи непропатченных Adobe до сих пор могут пострадать от рассылок вредоносных эксплойтов.

Adobe выпустила патч для CVE-2018-4878 в феврале, предупреждая, что эксплойт для этой уязвимости распространялся через документы Microsoft Office со встроенным вредоносным Flash-контентом. Злоумышленники рассылали зараженные документы через почту или выставляя их на загрузку. Когда пользователь просматривал документ, происходило заражение. По данным Proofpoint, злоумышленники используют ThreadKit для распространения банковских троянов, таких как Chthonic и Trickbot, и троянов удаленного доступа, таких как FormBook и Loki Bot.

Исследователь безопасности Клас Сплетт разместил видеоролик на YouTube о создании эксплойта CVE-2018-4878 в ThreadKit.

Существует несколько вариантов этого эксплойта, об этом можно судить по опубликованным на Pastebin хеш-данным с VirusTotal.

Код вредоносного эксплойта использует баг, влияющий на версии Flash Player с 23 по 28.0.0.137. Исправление присутствует во Flash Player начиная с версии 28.0.0.161 и до последней версии - 29.0.0.113. Поэтому в зоне риска остаются пользователи непропатченного Adobe Flash.

Исследователи Proofpoint определили, что обнаружить экспойты ThreadKit могут только антивирусные программы с эвристическим анализом. Например, Kaspersky, Norton или NOD.

“Такие программы, как ThreadKit, позволяют даже неопытным злоумышленникам использовать последние уязвимости для распространения вредоносного ПО” - сообщает Proofpoint в своем блоге.

Минцифры чаще всего отказывает российскому ПО из-за иностранного софта

Главным врагом российских разработчиков при попытке попасть в реестр отечественного ПО оказались не документы и даже не интерфейс, а иностранные компоненты внутри продукта.

Пользователь Хабра ksalnikova проанализировала 115 отказных заключений Минцифры, вынесенных с марта по июнь 2026 года. В 60% случаев причиной стали зарубежные компоненты с экспортными или лицензионными ограничениями.

Абсолютные лидеры антирейтинга — NVIDIA CUDA, упомянутая в 14 отказах, а также CentOS и Red Hat Enterprise Linux — по 12 случаев. Причем проблемный софт нередко прятался внутри Docker-контейнеров, о составе которых сами разработчики, похоже, вспоминали только после отказа.

 

Также под удар попадали Windows Server, Oracle Linux, VMware, Microsoft SQL Server, Oracle JDK и даже Microsoft Office. В отдельных случаях заявители сами указывали иностранную платформу как обязательную для работы продукта — и фактически приносили экспертам готовое основание для отказа.

 

Каждый шестой провал оказался еще обиднее: эксперт просто не смог запустить программу. Где-то не распаковался архив, где-то протух сертификат, не работал SSH или инструкция заканчивалась раньше, чем начиналась установка.

Еще 16% отказов связаны с зависимостью от зарубежных сервисов. Среди них GitHub, Telegram, Steam, AWS, OpenAI, DeepSeek и даже Google Fonts. Если без внешней платформы продукт превращается в тыкву, отечественным его признавать не спешат.

В список причин также вошли хранение кода за пределами России, отсутствие русского интерфейса, проблемы с правами на продукт и нарушения лицензий.

RSS: Новости на портале Anti-Malware.ru