Модифицированная цепочка эксплойтов для Word помогла обойти антивирусы

Модифицированная цепочка эксплойтов для Word помогла обойти антивирусы

В ходе новой вредоносной кампании злоумышленники модифицировали известную цепочку эксплойтов для загрузки кейлоггера Agent Tesla, при этом цель киберпреступников заключалась в избежании обнаружения популярными антивирусными решениями. На данный момент известно, что атакующие использовали две уязвимости в Microsoft Word, известные под идентификаторами CVE-2017-0199 и CVE-2017-11882.

Эксплойты для этих брешей есть в открытом доступе, так что для злоумышленников не составило труда обзавестись необходимыми инструментами. По словам аналитиков Cisco Talos, преступники устанавливали по меньшей мере три вредоноса в ходе кампании: Agent Tesla, Loki и Gamarue.

Все эти три злонамеренные программы предназначены для кражи данных. Также Agent Tesla и Gamarue имеют функцию удаленного доступа.

Атаки начинались с электронных писем, содержащих документ Word (DOCX), который загружал файл RTF, завершающий доставку вредоносной программы. Атакующим было важно, чтобы RTF-файл остался незамеченным защитными решениями.

«Только два антивируса из 58 нашли что-то подозрительное, однако они сообщали лишь о некорректно созданном RTF. AhnLab-V3 детектировал файл как RTF/Malform-A.Gen, а Zoner — RTFBadVersion», — пишут специалисты в отчете.

Исследователи отмечают, что именно модификации в цепочке эксплойтов помогли избежать обнаружения вредоноса стандартными антивирусными решениями. Благодаря им злоумышленники смогли оснастить документы подпрограммами для загрузки вредоносной составляющей.

Загрузочный механизм полагался на поддержку встроенных объектов с помощью OLE. В ходе атаки совершенно необязательно было, чтобы пользователь менял настройки Microsoft Word или кликал на что-либо для запуска эксплойта.

Обойти обнаружение антивирусами помогла также обфускация внутри RTF-файла. Углубленный анализ показал, что киберпреступники также изменили значения заголовка OLE-объекта.

Yandex Zen AMПодписывайтесь на канал "Anti-Malware" в Yandex Zen, чтобы узнавать о новостях и эксклюзивных материалах по информационной безопасности в своей персональной ленте.

Facebook и Twitter ответили РКН по поводу хранения данных россиян

По словам представителей Роскомнадзора, российскому ведомству удалось добиться ответа Facebook и Twitter относительно хранения персональных данных россиян на территории России. Об этом рассказал пресс-секретарь Роскомнадзора Вадим Ампелонский.

К сожалению, господин Ампелонский не стал уточнять, что именно ответили компании по поводу хранения данных россиян, однако выдал следующую информацию (цитата «Ъ»):

«17 января Роскомнадзор получил ответы от компаний Facebook и Twitter. Сегодня мы проанализируем полученную информацию и сообщим о дальнейших действиях в понедельник».

Запланированная на январь встреча представителей Роскомнадзора с Twitter не состоится, так как сотрудники компании не смогут приехать.

«Twitter уведомил нас, что их представители по каким-то причинам точно не смогут приехать на встречу с нами в январе. Возможно, эта встреча состоится позднее. Мы открыты для встреч», — объяснил пресс-секретарь российского ведомства.

Вчера мы писали, что Роскомнадзор заблокировал водонагреватель россиянина из-за Telegram. Забавная история приключилась с одним из пользователей сайта Pikabu, который приобрел водонагреватель, а затем обнаружил, что устройство не может выйти в Сеть. Оказалось, что купленный девайс стал жертвой конфликта между Роскомнадзором и Telegram

Также на этой неделе стало известно, что Роскомнадзор не стал церемониться с ресурсами, связанными с незаконным онлайн-казино Azino 777. В результате в реестр запрещенных веб-сайтов были добавлены более 1,5 тысячи ресурсов, 90% из них уже блокируются и недоступны для пользователей из России.

Yandex Zen AMПодписывайтесь на канал "Anti-Malware" в Yandex Zen, чтобы узнавать о новостях и эксклюзивных материалах по информационной безопасности в своей персональной ленте.

RSS: Новости на портале Anti-Malware.ru