Опубликованный PoC-код демонстрирует загрузку CoinHive в Excel

Опубликованный PoC-код демонстрирует загрузку CoinHive в Excel

Опубликованный PoC-код демонстрирует загрузку CoinHive в Excel

Спустя всего несколько дней после того, как Microsoft объявила о внедрении функции кастомного JavaScript в Excel, исследователь безопасности сообщил, что нашел способ использования этого метода для загрузки скрипта для майнинга CoinHive внутрь таблицы Excel.

Когда о новых возможностях еще только было заявлено, эксперты уже предупреждали о том, что они могут использоваться в злонамеренных целях.

Об этом говорит серия твитов экспертов:

В течение нескольких часов исследователь безопасности Чейз Дардаман разработал способ использования новой функции Microsoft для загрузки майнера CoinHive с помощью специальной функции JavaScript в Excel.

Справедливости ради, стоит отметить, что в нынешнем виде атака сработает только в том случае, если цель загрузить новые функции Excel в качестве надстройки.

Кастомные функции JavaScript работают через создание и размещение на доступном веб-сервере трех файлов. Этими файлами являются: JS-файл, содержащий пользовательское уравнение, html-файл, который загружает ваши файлы JavaScript, и файл JSON, который играет роль файла конфигурации.

Также будет необходимо создать XML-файл, который будет локально использоваться Excel для загрузки кастомной функции в качестве надстройки.

Таким образом, Excel будет создавать скрытый браузер, который загружает различные файлы, а затем выполняет пользовательские функции JavaScript. После быстрого изучения механизма работы этой функции Дардаман легко смог создать собственную надстройку, которая загрузила CoinHive в этот скрытый браузер.

Специалист уточнил, что создание такой надстройки заняло у него крайне мало времени — «это очень легко осуществить». Еще одна важная особенность — возможность сохранения, то есть при сохранении таблицы, а затем последующем открытии, документ снова запустит эту функцию.

Эксперт приложил скриншот использования ресурсов процессора, на котором видно, что скрипт для майнинга использует 50 % мощности процессора компьютера.

Теперь специалист ждет активного использования этого метода различными злоумышленниками in the wild.

Банки и операторы заплатят за ошибки, которые помогли мошенникам

Россиянам могут начать возвращать деньги, переведённые телефонным мошенникам, если преступление стало возможным из-за нарушений банка или оператора связи. Процедуру компенсаций прописали в проектах постановлений к пакету «Антифрод 2.0».

Схема такая: пострадавший обращается в банк и сообщает, что отправил деньги под влиянием мошенников. Банк проверяет, должен ли был распознать подозрительную операцию и остановить перевод. Если пропустил, возмещает ущерб сам.

Если банк всё сделал правильно, заявление отправят оператору связи. Тот должен выяснить, мог ли вовремя обнаружить мошеннический номер и заблокировать его. Если ошибка была на стороне оператора, платить придётся ему.

При положительном решении деньги должны вернуть в течение 30 дней. Для трансграничных переводов срок увеличивается до 60 дней. Лимитов по размеру компенсации в финальной версии не предусмотрено.

Но автоматической страховки от любой доверчивости не будет. Если и банк, и оператор выполнили все требования, а клиент всё равно сам передал код, пароль или перевёл деньги, компенсация ему не положена.

Параллельно власти дорабатывают систему «Антифрод». Банки, операторы и ведомства будут автоматически обмениваться данными о подозрительных номерах.

В базу могут попадать телефоны, с которых рассылают фальшивые сообщения от имени «Госуслуг» или ведут незаконные массовые обзвоны. Для ошибочно внесённых номеров предусмотрят процедуру удаления.

RSS: Новости на портале Anti-Malware.ru