Фишеры используют уязвимость в WinRAR для запуска бестелесного бэкдора

Олег Иванов 11 Апреля 2019 - 17:25

Малый и средний бизнес

...

Недавно зафиксированные атаки на организации в сфере спутниковой связи и коммуникаций повторяют технику, используемую киберпреступной группой MuddyWater. Злоумышленники эксплуатируют 19-летнюю уязвимость в архиваторе WinRAR для запуска бестелесного PowerShell-бэкдора.

К счастью, в настоящее время для этой уязвимости (CVE-2018-20250) уже выпущен патч, однако из-за отсутствия функции автоматического обновления многие становятся жертвами подобных атак.

Неудивительно, что после появления информации об этой уязвимости в течение короткого промежутка времени появилось более 100 эксплойтов под нее.

В случае последних атак с использованием CVE-2018-20250 злоумышленники получают полный контроль над атакуемой системой.

Все началось с того, что команда Office 365 Advanced Threat Protection обнаружила вредоносный файл, который использовал уязвимость в WinRAR. Исследователи сразу поняли, что имеют дело с тщательно подготовленными и хорошо организованными киберпреступниками.

По словам Рекса Плантадо, эксперта Office 365 ATP, атаки начинаются с фишингового письма, которое замаскировано под письмо от Министерства иностранных дел Афганистана.

К письму прикреплен документ Word, который не содержит никакой вредоносной составляющей — предположительно, чтобы избежать детектирования антивирусными средствами, которые используют сервисы электронной почты.

Однако в этом документе содержится ссылка на другой документ, который уже располагается в облачном хранилище OneDrive.

И вот во втором документе как раз и содержится вредоносная составляющая, которая запускает цепочку атаки. В частности, файл содержит грамотно обфусцированный макрос. В случае активации макросов в Microsoft Office (по умолчанию отключены) запустится загрузка на компьютер вредоносной программы.

После ее запуска пользователя попросят перезагрузить компьютер, так как в системе якобы отсутствует важная DLL.

В конечном счете загружается скрипт PowerShell, который имеет множество слоев шифрования. По словам экспертов, этот скрипт очень похож на тот, что использует группировка MuddyWater.

Попав на компьютер, вредонос способен предоставить злоумышленникам полный контроль над системой жертвы.

Следующая главная новость »

Контейнеризация 2026: чем российские решения отличаются на практике? Регистрируйтесь на эфир!

Яков Шпунт 20 Февраля 2026 - 16:18

Взлом программ Домашние пользователи

Злоумышленники проникают в домашние сети через умные пылесосы

В компании F6 сообщили о новой технике атак на устройства, подключённые к домашней сети. По словам экспертов, точкой входа нередко становятся умные пылесосы — их компрометация остаётся незаметной для владельца и никак не отражается на работе устройства. Как правило, всё начинается со взлома Wi-Fi-роутера — либо путём подбора пароля, либо через эксплуатацию уязвимостей.

О такой тактике злоумышленников рассказал РИА Новости эксперт F6 Сергей Золотухин.

Следующим этапом, по его словам, может стать взлом самого пылесоса. При этом визуально определить компрометацию практически невозможно — устройство продолжит функционировать в обычном режиме.

Как отметил эксперт, устройства с камерами и функцией записи звука потенциально могут использоваться для сбора информации о владельцах. В дальнейшем такие данные могут применяться для шантажа или манипуляций. Причём, по его оценке, сбор информации возможен даже в тех случаях, когда на программном уровне подобные функции формально ограничены.

«Поскольку в современном мире многие устройства используют камеру, микрофон и различные датчики для расширения функциональности и удобства, можно констатировать, что мы вступили в эпоху технически возможной полной прозрачности», — резюмировал Сергей Золотухин.

На прошлой неделе о схожей технике предупреждала «Лаборатория Касперского». Эксперты компании сообщили о возможности использования умных кормушек для домашних животных в целях сбора данных — многие из них, как и роботизированные пылесосы, оснащены камерами. Кроме того, такие устройства могут применяться в качестве точки входа для атак на другие гаджеты в домашней сети, включая смартфоны и компьютеры.

Контейнеризация 2026: чем российские решения отличаются на практике? Регистрируйтесь на эфир!