Опубликованный PoC-код демонстрирует загрузку CoinHive в Excel

Олег Иванов 10 Мая 2018 - 13:13

...

Опубликованный PoC-код демонстрирует загрузку CoinHive в Excel

Спустя всего несколько дней после того, как Microsoft объявила о внедрении функции кастомного JavaScript в Excel, исследователь безопасности сообщил, что нашел способ использования этого метода для загрузки скрипта для майнинга CoinHive внутрь таблицы Excel.

Когда о новых возможностях еще только было заявлено, эксперты уже предупреждали о том, что они могут использоваться в злонамеренных целях.

Об этом говорит серия твитов экспертов:

В течение нескольких часов исследователь безопасности Чейз Дардаман разработал способ использования новой функции Microsoft для загрузки майнера CoinHive с помощью специальной функции JavaScript в Excel.

Справедливости ради, стоит отметить, что в нынешнем виде атака сработает только в том случае, если цель загрузить новые функции Excel в качестве надстройки.

Кастомные функции JavaScript работают через создание и размещение на доступном веб-сервере трех файлов. Этими файлами являются: JS-файл, содержащий пользовательское уравнение, html-файл, который загружает ваши файлы JavaScript, и файл JSON, который играет роль файла конфигурации.

Также будет необходимо создать XML-файл, который будет локально использоваться Excel для загрузки кастомной функции в качестве надстройки.

Таким образом, Excel будет создавать скрытый браузер, который загружает различные файлы, а затем выполняет пользовательские функции JavaScript. После быстрого изучения механизма работы этой функции Дардаман легко смог создать собственную надстройку, которая загрузила CoinHive в этот скрытый браузер.

Специалист уточнил, что создание такой надстройки заняло у него крайне мало времени — «это очень легко осуществить». Еще одна важная особенность — возможность сохранения, то есть при сохранении таблицы, а затем последующем открытии, документ снова запустит эту функцию.

Эксперт приложил скриншот использования ресурсов процессора, на котором видно, что скрипт для майнинга использует 50 % мощности процессора компьютера.

Теперь специалист ждет активного использования этого метода различными злоумышленниками in the wild.

Следующая главная новость »

Альтернативы Active Directory: как пройти миграцию без боли?
Регистрируйтесь на эфир!

Яков Шпунт 13 Мая 2026 - 18:21

Соответствие законодательству РФ Домашние пользователи Государство

Суд вынес условные сроки участникам хакерской группировки

Калининский и Ленинский районные суды Челябинска вынесли приговоры участникам хакерской группировки. Их обвиняли в создании и распространении вредоносных приложений в России и других странах. Один фигурант получил три года условно, второй — полтора года условно и штраф в размере 10 млн рублей.

О приговоре сообщило РИА Новости со ссылкой на пресс-службу УФСБ по Челябинской области.

Мягкий приговор объясняется тем, что оба фигуранта сотрудничали со следствием. Максимальное наказание по статье 273 УК РФ, предусматривающей ответственность за создание и распространение вредоносных программ, составляет семь лет лишения свободы.

При этом по делам о преступлениях в сфере компьютерной информации, которые относятся к 28-й главе Уголовного кодекса РФ, суды довольно редко выносят приговоры с реальными сроками лишения свободы.

По данным УФСБ, злоумышленники распространяли разработанное ими вредоносное приложение, предназначенное для удалённого доступа к банковским картам и аккаунтам платёжных систем через Telegram. В ходе следственных действий была зафиксирована продажа этого приложения на общую сумму 70 тыс. долларов США.

«Администратор приговорен к ограничению свободы условно на три года, организатор — к лишению свободы условно на полтора года с испытательным сроком на три года и взысканию денежных средств в размере 10 миллионов рублей в доход государства», — сообщили в пресс-службе УФСБ.

Альтернативы Active Directory: как пройти миграцию без боли?
Регистрируйтесь на эфир!