Вітаємо на сайті Радіо Максимум!

На вказану електронну адресу було надіслано повідомлення для підтвердження реєстрації

Форма для відновлення паролю
Вітаємо, Ваші дані успішно оновлено!

Хакери знайшли новий метод злому через файли Word

  • 452

За даними компанії Trustwave SpiderLabs, в мережі з'явився новий тип комп'ютерних вірусів, які переховуються під виглядом текстових документів Word. Він поширюється за допомогою електронної пошти.

Подібний метод практикується зловмисниками досить давно, однак ключовою особливістю вірусу стала повна відсутність макросів, чого раніше не зустрічалося.

І ще: ПриватБанк зробив важливе попередження для клієнтів

Раніше при відкритті заражених вкладень користувачі бачили попередження або спливаючі вікна. У випадку з новим вірусом такого не відбувається. За допомогою вірусу зловмисники можуть "викрадати" облікові дані з електронної пошти жертви, FTP і браузерів. Дослідники відзначили багаторівневу природу атаки, порівнявши її з турдакеном - святковою стравою, в якій курча поміщають в качку, а її, у свою чергу, – в індичку.

Дослідники з Trustwave заявили, що вірус використовує комбінацію методів, які починаються з вкладення формату .DOCX. Жертви отримують електронною поштою різні листи, пов'язані з фінансами. Всі виявлені фахівцями e-mail включали вкладення з ім'ям "receipt.docx".

Хакери знайшли новий метод злому через файли Word - фото 228457
Хакери знайшли новий метод злому через файли Word / PCHelpForce

Процес атаки з чотирма етапами починається з відкриття файлу .DOCX і запуску вбудованого OLE-об'єкта, що містить посилання. Це дозволяє посилатися на зовнішній доступ до віддалених OLE-об'єктів. За словами дослідників, зловмисники користується тим, що документи Word, створені за допомогою Microsoft Office 2007, використовують формат Open XML, який заснований на технологіях XML і ZIP-архівів. Тому такими файлами можна легко маніпулювати програмно або вручну.

Другий етап полягає в використанні Word-файлу для запуску завантаження файлу з розширенням RTF. Останній вдається до уразливості редактора Office Equation Editor, закритої Microsoft в листопаді минулого року. Третій етап полягає в декодуванні тексту всередині RTF-файлу, який, в свою чергу, запускає командний рядок MSHTA, а вона завантажує і відкриває HTA-файл. Останній містить скрипт PowerShell, який і виконує шкідливе ПЗ Password Stealer. Цей вірус викрадає облікові дані з програм електронної пошти, FTP і браузера.

Фахівці відзначили надзвичайно велику кількість етапів і сценаріїв, які використовуються цим вірусом. Крім того, файли DOCX, RTF і HTA рідко блокуються поштовими або мережевими шлюзами, на відміну від більш очевидних, таких як VBS, JScript або WSF.

Не забувайте, не варто відкривати файли, отримані від невідомих відправників.

Читайте також: Хакери зламали всі п'ять рівнів захисту Windows 10

Джерело: Threatpost


пропозиції партнерів
Новини