Уязвимость Microsoft используется для распространения вредоносного ПО

Эксперты предупреждают, что хакеры используют новую технику фишинга для доставки троянов удаленного доступа (RAT) ничего не подозревающим жертвам.

Уязвимость Microsoft используется для распространения вредоносного ПО. Фото: СС0

Специалисты по кибербезопасности из Perception Point недавно подробно описали кампанию, которую они назвали Operation PhantomBlu. По их мнению, хакеры используют технику под названием «Связывание и внедрение объектов» (OLE).

Она основана на функции Windows, которая позволяет пользователям встраивать и связывать документы внутри документов, в результате чего создаются составные файлы с элементами из разных программ.

Кампания начинается с обычного фишингового письма, которое маскируется под сообщение из бухгалтерии компании жертвы. Электронные письма отправляются с официальной маркетинговой платформы Brevo, что позволяет предположить, что она, скорее всего, была каким-то образом скомпрометирована.

К письму прикреплен документ Word «ежемесячный отчет о зарплате». Жертвам, загружающим файл, сначала предлагается ввести пароль, чтобы открыть его, а затем дважды щелкнуть значок принтера, встроенный в документ.

При этом жертва запускает ZIP-архив, содержащий файл ярлыка Windows, который запускает дроппер PowerShell, который развертывает NetSupport RAT с удаленного сервера.

Из сообщения исследователей безопасности:

«Используя зашифрованные файлы .docs для доставки NetSupport RAT через шаблон OLE и внедрение шаблонов, PhantomBlu знаменует собой отход от традиционных TTP, обычно связанных с развертыванием NetSupport RAT. Обновленная технология демонстрирует инновации PhantomBlu» в сочетании сложной тактики уклонения с социальной инженерией.»

NetSupport RAT — это вооруженная версия NetSupport Manager, законного программного обеспечения для удаленного управления, впервые выпущенного в 1989 году. На протяжении многих лет NetSupport RAT был одним из наиболее часто используемых троянов удаленного доступа, предоставляя злоумышленникам беспрепятственный доступ к скомпрометированным устройствам. Затем они смогут использовать этот доступ для развертывания еще более опасного вредоносного ПО, в том числе инфостилеров и программ-вымогателей.

Лучший способ защититься от этих атак — проявлять бдительность при получении электронных писем и загружать вложения только из проверенных источников, предупреждают исследователи.

Startpack подготовил список продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.

Статьи по теме