Неизвестная киберпреступная группировка использует уязвимость в браузере Internet Explorer для установки в систему жертвы VBA-трояна, открывающего операторам удалённый доступ к устройству. Поскольку патч уже вышел, пользователям рекомендуют установить обновления.
Изучив поведение вредоноса, эксперты пришли к выводу, что его интересуют хранящиеся на взломанном Windows-компьютере файлы. Кроме того, троян может скачивать и запускать дополнительные пейлоады.
Основным путём доставки зловреда стал документ с именем Manifest.docx. Если неосторожный пользователь откроет такой документ, в дело вступит эксплойт. Задача последнего — запустить шелл-код и установить RAT-вредонос в систему.
О кампании киберпреступников рассказали специалисты Malwarebytes, впервые обнаружившие подозрительный Word-файл 21 июля 2021 года.
Документ-приманка спекулирует на теме Крыма. «Манифест жителей Крыма» — именно так называется документ — взывает к жителям полуострова, негативно настроенным в отношении нынешнего президента России Владимира Путина.
Уязвимость Internet Explorer, о которой идёт речь, получила идентификатор CVE-2021-26411. Ранее эта брешь фигурировала в кибератаках группировки Lazarus. Причём дыра довольно старая, так как Microsoft устранила её с выходом мартовских обновлений.
В блоге Malwarebytes также есть информация об использовании злоумышленниками социальной инженерии, которая вкупе с эксплойтом приносит плоды. Также вредонос пытается вычислить установленный в систему антивирус, а его операторы могут приказать ему удалить, прочитать или загрузить файлы жертвы.
На всякий случай ещё раз напомним, что патчи уже готовы, поэтому стоит их установить, если вы этого ещё не сделали.
