Фахівці Menlo Security вивчили серію кібератак на компанії в США та Близькому Сході. Масштабна атака почалася в травні і була спрямована на сферу інформаційних послуг і фінансовий сектор.

Як же вони заражають комп’ютери?

Атака виконана професійно, використовуються багатоступінчасті схеми зараження. Ключова особливість атаки – висока ефективність обходу захисних механізмів.

На початковому етапі зловмисники використовують розсилку спеціально підготовлених текстових документів (.rtf або .docx), у яких повністю відсутня шкідливий код.

Такі документи містять спеціальні кадри, які забезпечують завантаження зовнішніх елементів. При відкритті документа (режим дозволеного редагування) такий кадр активує скорочену посилання TinyURL, яка прописана у файлі webSettings.xml.rels. Дані файли йдуть разом з документом і містять інформацію про взаємодію різних частин документа.

Такий зовнішній запит ініціює завантаження додаткового об’єкта, який вбудовується в відкривається документ.

У більшості випадків такий об’єкт являє собою RTF-документ, що експлуатує уразливість з кодом CVE-2017-8570. Сервера, з яких завантажуються шкідливі документи, фізично розташовані на території США і Франції.

Уразливість пов’язана з некоректною обробкою додатками Microsoft Office певних об’єктів в ОЗП, допускаючи запуск шкідливих файлів або довільного коду.

Завантажений RTF-файл комплектується файлом з розширенням .sct, який автоматично зберігається в каталог %TEMP% і відразу запускається. Це призводить до створення в тій же папці файлу chris101.exe, який в подальшому запускається за допомогою Wscript.Shell.Run().

Даний файл знову відправляє запит на сервер управління, щоб завантажити інший завантажувач, який і забезпечує завантаження основного шкідливого файлу – шпигунську утиліту FormBook. Вірус здатний фіксувати натискання клавіш, викрадати інформацію з HTTP-сесій і вміст буфера обміну. Також може виконувати зовнішні команди – вимкнення або перезавантаження ОС, запуск інших процесів, крадіжка cookie і паролів, завантаження нових файлів та інші.

Як захиститися від цієї проблеми?

Потрібно просто оновити операційну систему і офіс з до останніх версій.

Фахівці відзначили, що використовувана схема атаки призвела до швидкого поширення вірусу, хоча використовується уразливість вирішено ще в липні 2017 року. Ймовірно, велика кількість систем не отримали відповідне оновлення.

Джерело: http://opensharing.org.ua/