Уязвимость Microsoft используется для распространения вредоносного ПО
Уязвимость Microsoft используется для распространения вредоносного ПО. Фото: СС0
Специалисты по кибербезопасности из Perception Point недавно подробно описали кампанию, которую они назвали Operation PhantomBlu. По их мнению, хакеры используют технику под названием «Связывание и внедрение объектов» (OLE).
Она основана на функции Windows, которая позволяет пользователям встраивать и связывать документы внутри документов, в результате чего создаются составные файлы с элементами из разных программ.
Кампания начинается с обычного фишингового письма, которое маскируется под сообщение из бухгалтерии компании жертвы. Электронные письма отправляются с официальной маркетинговой платформы Brevo, что позволяет предположить, что она, скорее всего, была каким-то образом скомпрометирована.
К письму прикреплен документ Word «ежемесячный отчет о зарплате». Жертвам, загружающим файл, сначала предлагается ввести пароль, чтобы открыть его, а затем дважды щелкнуть значок принтера, встроенный в документ.
При этом жертва запускает ZIP-архив, содержащий файл ярлыка Windows, который запускает дроппер PowerShell, который развертывает NetSupport RAT с удаленного сервера.
Из сообщения исследователей безопасности:
«Используя зашифрованные файлы .docs для доставки NetSupport RAT через шаблон OLE и внедрение шаблонов, PhantomBlu знаменует собой отход от традиционных TTP, обычно связанных с развертыванием NetSupport RAT. Обновленная технология демонстрирует инновации PhantomBlu» в сочетании сложной тактики уклонения с социальной инженерией.»
NetSupport RAT — это вооруженная версия NetSupport Manager, законного программного обеспечения для удаленного управления, впервые выпущенного в 1989 году. На протяжении многих лет NetSupport RAT был одним из наиболее часто используемых троянов удаленного доступа, предоставляя злоумышленникам беспрепятственный доступ к скомпрометированным устройствам. Затем они смогут использовать этот доступ для развертывания еще более опасного вредоносного ПО, в том числе инфостилеров и программ-вымогателей.
Лучший способ защититься от этих атак — проявлять бдительность при получении электронных писем и загружать вложения только из проверенных источников, предупреждают исследователи.
Startpack подготовил список продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.
Статьи по теме
Комментариев пока не было