Хакеры нашли новый метод обхода защиты антивирусов

Хакеры нашли новый метод обхода защиты антивирусов

1
Метод эксплуатирует особенности формата RT.

Эксперты команды Cisco Talos заметили новую кампанию по распространению ряда вредоносных программ, в том числе инфостилеров Agent Tesla, Loki и Gamarue, способных извлекать информацию из различных приложений, например, Google Chrome, Mozilla Firefox, Microsoft Outlook и пр.

Отличительная особенность операции заключается в использовании модифицированного процесса эксплуатации известных уязвимостей в Microsoft Word (CVE-2017-0199 и CVE-2017-11882), позволяющего инфицировать систему, не привлекая внимания антивирусов.

На первом этапе злоумышленники рассылают вредоносные документы MS Word, содержащие RTF файл. Именно он загружает конечный вредоносный модуль, не вызывая подозрений со стороны защитных решений. По словам специалистов, только 2 из 58 антивирусов сочли файл подозрительным, при этом они всего лишь предупреждали, что документ неправильно отформатирован.

Атака эксплуатирует особенности формата RT, который поддерживает возможность встраивания объектов с помощью технологии Object Linking and Embedding (OLE) и использует большое количество управляющих слов для определения содержащегося контента. Обычно парсеры RTF игнорируют неизвестное содержимое, тем самым предоставляя отличную возможность скрыть эксплоит. В итоге для запуска кода злоумышленникам не нужно заставлять пользователя менять настройки в Microsoft Word или нажимать на какие-либо опции.

Кроме прочего, для сокрытия вредоносного документа от обнаружения злоумышленники меняют значения заголовка OLE-объекта, добавляя данные, которые выглядят как тег <FONT>, но на деле являются эксплоитом для уязвимости CVE-2017-11882 в Microsoft Office.

Написать комментарий


Связаться с администрацией

© Корпорация «Рога и копыта» - все права защищены! При копировании ключей и использовании их на другом ресурсе без активной ссылки на наш сайт - вы автоматически становитесь топовой свиньей. Всем добра!