Фишеры используют уязвимость в WinRAR для запуска бестелесного бэкдора

Олег Иванов 11 Апреля 2019 - 17:25

Малый и средний бизнес

...

Недавно зафиксированные атаки на организации в сфере спутниковой связи и коммуникаций повторяют технику, используемую киберпреступной группой MuddyWater. Злоумышленники эксплуатируют 19-летнюю уязвимость в архиваторе WinRAR для запуска бестелесного PowerShell-бэкдора.

К счастью, в настоящее время для этой уязвимости (CVE-2018-20250) уже выпущен патч, однако из-за отсутствия функции автоматического обновления многие становятся жертвами подобных атак.

Неудивительно, что после появления информации об этой уязвимости в течение короткого промежутка времени появилось более 100 эксплойтов под нее.

В случае последних атак с использованием CVE-2018-20250 злоумышленники получают полный контроль над атакуемой системой.

Все началось с того, что команда Office 365 Advanced Threat Protection обнаружила вредоносный файл, который использовал уязвимость в WinRAR. Исследователи сразу поняли, что имеют дело с тщательно подготовленными и хорошо организованными киберпреступниками.

По словам Рекса Плантадо, эксперта Office 365 ATP, атаки начинаются с фишингового письма, которое замаскировано под письмо от Министерства иностранных дел Афганистана.

К письму прикреплен документ Word, который не содержит никакой вредоносной составляющей — предположительно, чтобы избежать детектирования антивирусными средствами, которые используют сервисы электронной почты.

Однако в этом документе содержится ссылка на другой документ, который уже располагается в облачном хранилище OneDrive.

И вот во втором документе как раз и содержится вредоносная составляющая, которая запускает цепочку атаки. В частности, файл содержит грамотно обфусцированный макрос. В случае активации макросов в Microsoft Office (по умолчанию отключены) запустится загрузка на компьютер вредоносной программы.

После ее запуска пользователя попросят перезагрузить компьютер, так как в системе якобы отсутствует важная DLL.

В конечном счете загружается скрипт PowerShell, который имеет множество слоев шифрования. По словам экспертов, этот скрипт очень похож на тот, что использует группировка MuddyWater.

Попав на компьютер, вредонос способен предоставить злоумышленникам полный контроль над системой жертвы.

Следующая главная новость »

Карьера в информационной безопасности. Что ждёт в 2026 году? Обсудим на эфире AM Live, присоединяйтесь! »

Екатерина Быстрова 19 Января 2026 - 08:42

Linux Домашние пользователи

Разработчик пропатчил Wine, чтобы Photoshop 2021 и 2025 заработали на Linux

В мире Linux случилось то, во что многие дизайнеры и ретушёры уже почти перестали верить: современный Photoshop всё-таки удалось запустить. Не старые версии с костылями и танцами с бубном, а вполне себе свежие релизы — вплоть до Photoshop 2025. И нет, Adobe внезапно не полюбила Linux. Всё сделал один упрямый и очень внимательный разработчик.

Проблема, как известно, в Creative Cloud. Начиная с версии 2021, установщики Photoshop жёстко завязаны на Windows-компоненты, которые Wine «из коробки» просто не переваривает.

Речь идёт прежде всего о MSHTML и MSXML3 — системных модулях Windows, отвечающих за HTML/JS-интерфейс установщика и разбор XML-конфигов. В итоге установка на Linux обрывалась ещё до старта, и на этом всё обычно заканчивалось.

Но разработчик под ником PhialsBasement решил копнуть глубже — и нашёл, где именно всё ломается. Он подготовил набор патчей для Wine, которые аккуратно обходят проблемы строгого XML-парсинга (через CDATA), чинят обработку ID внутри Wine и главное — заставляют окружение вести себя так, как будто это Internet Explorer 9.

Именно на такое поведение и рассчитывают установщики Adobe времён Creative Cloud. В результате интерфейс инсталлятора начинает нормально работать — без падений, белых экранов и странных ошибок.

И да, это не просто теория. По словам автора, Photoshop 2021 и 2025 после установки работают «как по маслу» — плавно и без видимых проблем. Патчи даже пытались протолкнуть в репозиторий Proton от Valve, но там логично предложили сначала идти в WineHQ — всё-таки история не совсем про игры. Сам разработчик, правда, посетовал, что апстрим в Wine движется медленно, а Valve обычно работает куда оперативнее.

Пока что это, скорее, задел на будущее. Чтобы повторить фокус у себя, придётся собрать Wine вручную с патчами из GitHub PhialsBasement. Не самый дружелюбный путь для массового пользователя, но сам факт уже важен. Если эти изменения в итоге попадут в основной Wine, Linux может стать куда более привлекательным для профессионалов, которые годами держались за Windows и macOS исключительно ради Adobe.

А если возиться с патчами не хочется — виртуальные машины по-прежнему никто не отменял. Но впервые за долгое время кажется, что настоящая совместимость Adobe CC и Linux — это уже не фантазия, а вопрос времени.

Карьера в информационной безопасности. Что ждёт в 2026 году? Обсудим на эфире AM Live, присоединяйтесь! »