Эксплойты для Microsoft Word научились проникать через антивирусы

Киберпреступники развернули целую инфраструктуру для распространения нескольких видов вредоносного ПО, используя два широко известных эксплойта для Microsoft Word - CVE-2017-0199 и CVE-2017-11882. На данный момент она используется для заражения пользовательских систем вредоносными программами Agent Tesla, Loki и Gamarue. Все три вредоносных семейства способны красть информацию и лишь у Loki отсутствуют функции удалённого управления.

Атака начинается с электронного письма со вложенным документом Microsoft Word (DOCX), в котором содержатся функции скачивания и открытия ещё одного файла - на этот раз, RTF, вместе с которым в систему загружаются вредоносные копоненты. RTF-файл антивирусы в основном игнорируют: только два из 58 антивирусных продуктов пометили его как вредоносный или подозрительный, - AhnLab-V3 и Zoner.

Причина такой «скрытности» лежит в особенностях формата RTF и его поддержки встраиваемых объектов через протокол Object Linking and Embedding (OLE). RTF использует большое количество контрольных слов для описания содержания контента.

Обычные парсеры RTF обычно игнорируют всё, что не могут опознать. В результате получается почти идеальная комбинация, чтобы скрывать код эксплойта. Для ее применения никаких настроек в Microsoft Word пользователю менять не надо - то есть даже активировать макросы не понадобится.

Версия для печатиВерсия для печати

Регион: 

Рубрики: 

Заметили ошибку? Выделите ее мышкой и нажмите Ctrl+Enter!