Microsoft предупреждает о новых атаках с помощью Excel-документов

Microsoft предупреждает о новых атаках с помощью Excel-документов

Microsoft предупреждает об активной киберпреступной кампании — злоумышленники используют функции Office для компрометации компьютеров на базе операционной системы Windows. На этот раз под угрозой даже те пользователи, чьи системы полностью обновлены.

В этой новой кампании киберпреступники отошли от эксплуатации известных уязвимостей в программном обеспечении. Вместо этого используется, скорее, обратный подход — вредоносное вложение в виде Excel-документа способно успешно пробить защиту полностью пропатченных систем.

Команда безопасности Microsoft обратила внимание пользователей на новую кампанию в своем Twitter-аккаунте. По словам сотрудников корпорации, атакующие используют сложную цепочку заражения, которая в конечном итоге приводит к установке на целевом компьютере известного RAT-трояна FlawedAmmyy.

При этом вредонос загружается сразу в оперативную память.

Ранее специалисты компании Proofpoint уже изучали поведение FlawedAmmyy. Согласно их отчету, троян атакует финансовые компании и ритейл.

Свои атаки преступники начинают с электронного письма, в котором содержится вложение в формате .xls. Microsoft настоятельно советует ни в коем случае не открывать такое вложение.

«При открытии вредоносного файла он автоматически задействует вредоносный макрос для запуска msiexec.exe. Это приводит к загрузке MSI-архива, содержащего подписанный исполняемый файл. Этот файл загружает другой, причем прямиком в оперативную память компьютера», — пишет техногигант.

Работа исключительно в памяти позволяет вредоносной программе избежать детектирования антивирусными продуктами.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Новый WebGPU-вектор позволяет провести атаку из браузера жертвы

Исследователи продемонстрировали новый вектор атаки, угрожающий пользователям нескольких популярных браузеров и видеокарт. Метод основан на использовании WebGPU.

Новая киберугроза рассматривается в отчёте (PDF) специалистов Технологического университета Граца в Австрии и Университета Ренна во Франции.

Отмечается, что в ходе исследования эксперты «щупали» вездесущий API WebGPU, который позволяет веб-разработчикам использовать графический процессор для высокопроизводительных вычислений в браузере.

Задействуя этот API, специалисты смогли воспроизвести атаку, полностью работающую в браузере с включённым JavaScript. Новый подход упрощает проведение удалённых кибернападений.

По словам исследователей, им удалось выявить один из первых векторов атаки по сторонним каналам кеша GPU из самого браузера. Для эксплуатации достаточно заманить пользователя на специальный сайт, где размещён вредоносный код WebGPU.

Есть и нюанс: потенциальную жертву нужно продержать на ресурсе несколько минут, пока работает эксплойт. Для этого пользователю можно подсунуть статью, читая которую посетитель как раз и продержится необходимое время.

Выявленный вектор можно использовать для извлечения конфиденциальной информации, включая пароли, поскольку он позволяет использовать тайминг нажатия клавиш. Помимо этого, способ допускает кражу ключей шифрования AES на базе графического процессора, на что как раз и потребуется несколько минут.

Все скомпрометированные данные могут передаваться со скоростью до 10 Кбит/с.

Исследователи предупредили представителей Mozilla, AMD, NVIDIA и Chromium о проблеме, после чего NVIDIA даже выпустила официальное уведомление. Демонстрационный эксплойт можно найти по этой ссылке.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru