Хакеры используют старые бреши в Microsoft Office для установки бэкдора

Хакеры используют старые бреши в Microsoft Office для установки бэкдора

В новой вредоносной кампании злоумышленники используют старые уязвимости в программном обеспечении Microsoft Office для внедрения в системы Windows бэкдора. Этот бэкдор, получивший имя Felixroot, шпионит за пользователями и крадет их файлы.

Связанную с Felixroot киберактивность обнаружили исследователи FireEye, атакующие нацелились на жителей Украины. Вся схема атаки начинается с фишингового письма, в котором якобы содержится информация о семинаре по охране окружающей среды.

В этой кампании используются две уязвимости в Microsoft Office: CVE-2017-0199 и CVE-2017-11882. Первая позволяет злоумышленникам загружать и выполнять скрипт Visual Basic, содержащий команды PowerShell. Вторая брешь позволяет выполнить произвольный код и получить контроль над атакуемой системой.

Оба эксплойта стали доступны в прошлом году, они уже не раз использовались киберпреступниками в различных злонамеренных кампаниях. В этом случае атакуюшие используют эти две уязвимости в связке, что позволяет запустить бэкдор Felixroot.

У Felixroot есть все для того, чтобы следить за пользователем и красть его конфиденциальные файлы.

«Felixroot пытается похитить загруженные файлы, также бэкдор передает злоумышленникам информацию о системе. Вредонос свободно может загружать файлы с командного центра C&C, а затем выполнять их», — объясняет эксперт из FireEye Свопнил Патил.

Первым уязвимость CVE-2017-0199 эксплуатирует файл Seminar.rtf, а пейлоад второго этапа уже использует CVE-2017-11882, чтобы получить контроль над системой.

Зловред загружается прямиком в память, избегая попадания на диск, что увеличивает его шансы остаться незамеченным. Felixroot извлекает следующую информацию: имя пользователя, серийный номер тома, версию Windows и архитектуру процессора.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Прямой финансовый ущерб: Дуров критикует Apple и Google

Павел Дуров раскритиковал Apple и Google. По мнению основателя Telegram, политики техногигантов наносят финансовый ущерб сотням тысяч мобильных приложений по всему миру.

Apple уже на две недели задерживает обновление Telegram без объяснения причин и каких-либо отзывов со стороны компании, сообщил Дуров.

Он заявил, что предстоящее обновление Telegram должно “произвести революцию в том, как люди выражают свои мысли при обмене сообщениями”.

“Если так обращаются с Telegram, одним из 10 самых популярных приложений в мире, можно только представить, с какими трудностями сталкиваются небольшие разработчики приложений, — пишет Дуров. — Это не просто деморализует: это наносит прямой финансовый ущерб сотням тысяч мобильных приложений по всему миру”.

Бизнесмен в очередной раз раскритиковал комиссии Apple и Google. Речь о сборе в 30%, который компании берут с разработчиков за размещение в своих магазинах.

В июне Дуров уже обвинял Apple в намеренном ограничении веб-версий приложений. По его словам, Telegram Web не может в полной мере раскрыться на iOS-устройствах.

Apple может специально ухудшать качество веб-версий, чтобы подталкивать пользователей к скачиванию приложений из App Store, за которое она получает комиссию, считает Дуров.

Добавим, в феврале владелец Telegram раскритиковал и WhatsApp. Он назвал разработчиков мессенджера некомпетентными, предупредил пользователей о возможной утечке и рекомендовал не пользоваться сервисом.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru