Обнаружен новый способ распространения трояна Loki

На первых этапах атаку практически невозможно обнаружить, сообщает "SecurityLabRu".

Она проводится в обход антивирусных решений и как правило отклоняется как ложноположительная из-за использования в документах Office вредоносных скриплетов с ссылками на внешние ресурсы.

В текущем месяце в руки исследователей Lastline Labs попал вредоносный файл Excel, способный загружать и выполнять вредоносное ПО. Анализ файла не выявил никаких макросов, shell-кодов или DDE. Файл имел низкий уровень детектирования на Virustotal, что означает либо ложноположительный результат, либо новую технику атаки.

Как пояснили исследователи, для обхода обнаружения антивирусными решениями злоумышленники встраивают URL в скриплеты в документах Office. После открытия вредоносного файла Excel жертве предлагается обновить внешние ссылки рабочей книги – функцию Office, позволяющую ссылаться на внешние ресурсы, а не встраивать их напрямую (таким образом файлы сохраняют небольшой размер, и их легче обновить). Однако внешние ссылки могут ссылаться на вредоносные скриплеты и загружать вредоносное ПО.

Исследователи Lastline Labs обнаружили, что описанный выше метод используется злоумышленниками для заражения компьютеров трояном Loki, предназначенным для похищения учетных данных. Вредоносные файлы попадают к жертвам через фишинговые письма. В ходе атаки эксплуатируется уже исправленная уязвимость CVE-2017-0199 в Microsoft Office/WordPad, позволяющая удаленно выполнить код.

Скриплет – технология, позволяющая создавать COM-компоненты (модели компонентного объекта) средствами простых в использования языков сценариев. Скриплет появился в 1997 году с выходом в свет Internet Explorer 4.0.

Фото: "SecurityLabRu"

Читайте Comments.ua в Google News