Новый эксплойт позволил злоумышленникам обойти сентябрьский патч для MSHTML

Татьяна Никитина 22 Декабря 2021 - 18:38

Домашние пользователи

...

Проведенный в Sophos анализ образцов вредоносных писем показал, что идея спрятать эксплойт CVE-2021-40444 в RAR-файле вполне оправдала себя. Он с успехом обходит созданный в Microsoft патч, если жертва использует WinRAR новейших версий.

Критическую RCE-уязвимость CVE-2021-40444, привязанную к движку MSHTML (его используют приложения Microsoft Office), разработчики устранили в рамках сентябрьского «вторника патчей». Злоумышленники нашли эту дыру еще до выхода заплатка; после публикации PoC атаки стали более массовыми.

Эксплойт-кампания, выявленная экспертами Sophos, оказалась на удивление скоротечной. Рассылка вредоносного спама, нацеленного на засев инфостилера Formbook, продолжалась в течение 36 часов, 24 и 25 октября, и больше не повторилась. Фальшивые сообщения были оформлены как запрос на заказ, детали и профиль мифической компании получателю предлагалось просмотреть, открыв вложение Profile.rar.

Оказалось, что в начало этого файла добавлен скрипт WSH (Windows Script Host), а заархивированный документ Word содержит встроенный OLE-объект. При его открытии пользователю предлагается включить режим редактирования и запустить активный контент.

Разбор используемого злоумышленниками эксплойта показал, что он написан на основе PoC-кода, опубликованного на GitHub. От прежних версий CVE-2021-40444 он отличается тем, что полезная нагрузка упакована не в CAB-файл (Microsoft закрыла именно эту возможность), а в умышленно искаженный RAR.

Цепочка атаки в этом случае получается совершенно иной. Обновленный эксплойт CVE-2021-40444 в Sophos нарекли CABless-40444.

Примечательно, что устаревшие версии утилиты WinRAR оказались не в состоянии открыть модифицированный архивный файл и извлечь вредоносный документ (при тестировании использовалась версия 3.61). В то же время CABless-40444 успешно отработал после установки WinRAR 6.10 beta 3.

Следующая главная новость »

Коммерческие и гибридные SOC: что выбрать бизнесу в 2026 году?
Регистрируйтесь на эфир!

Екатерина Быстрова 15 Апреля 2026 - 20:11

Мошенничество Онлайн-мошенничество Общее

Telegram уличили в бездействии вокруг китайского крипторынка на $21 млрд

Telegram снова критикуют за то, что платформа продолжает обслуживать Xinbi Guarantee — крупный китайскоязычный теневой рынок, через который, по данным исследователей, проходят услуги по отмыванию денег для криптомошенников, а также другие криминальные сервисы.

WIRED пишет, что за всё время существования площадка уже провела операций примерно на $21 млрд, а после санкций Великобритании в конце марта её активность не только не остановилась, но и продолжилась почти в прежнем темпе.

Всего за 19 дней после введения санкций через Xinbi прошло ещё около $505 млн, а общее число пользователей почти дотянуло до полумиллиона. Telegram за это время, судя по всему, не предпринял шагов для удаления всей этой инфраструктуры.

Сама площадка давно фигурирует в расследованиях как один из ключевых узлов криминальной экосистемы в Telegram. Ещё раньше Elliptic оценивала её оборот примерно в $8,4 млрд, а более свежие оценки TRM Labs поднимают общий объём уже до $24,2 млрд. Разброс в цифрах объясняется разной методикой подсчёта, но общий вывод у исследователей один: речь идёт о действительно гигантском рынке, связанном с мошенничеством и отмыванием денег.

Сам Telegram публично почти не комментирует ситуацию. По данным WIRED, на новые запросы издания компания не ответила. При этом в прошлом Telegram уже объяснял своё нежелание вводить «общие запреты» тем, что часть пользователей якобы ищет альтернативные способы международных переводов на фоне жёстких финансовых ограничений в Китае.

Коммерческие и гибридные SOC: что выбрать бизнесу в 2026 году?
Регистрируйтесь на эфир!