bga68 (bga68) wrote,
bga68
bga68

Новый способ распространения трояна Loki через Microsoft Office

Обнаружен новый способ распространения трояна Loki через Microsoft Office




На первых этапах атаку с использованием вредоносных скриплетов практически невозможно обнаружить. Специалисты компании Lastline Labs обнаружили новый вектор распространения трояна Loki через программы Microsoft Office. На первых этапах атаку практически невозможно обнаружить. Она проводится в обход антивирусных решений и как правило отклоняется как ложноположительная из-за использования в документах Office вредоносных скриплетов с ссылками на внешние ресурсы.
В текущем месяце в руки исследователей Lastline Labs попал вредоносный файл Excel, способный загружать и выполнять вредоносное ПО. Анализ файла не выявил никаких макросов, shell-кодов или DDE. Файл имел низкий уровень детектирования на Virustotal, что означает либо ложноположительный результат, либо новую технику атаки.

Как пояснили исследователи, для обхода обнаружения антивирусными решениями злоумышленники встраивают URL в скриплеты в документах Office. После открытия вредоносного файла Excel жертве предлагается обновить внешние ссылки рабочей книги – функцию Office, позволяющую ссылаться на внешние ресурсы, а не встраивать их напрямую (таким образом файлы сохраняют небольшой размер, и их легче обновить). Однако внешние ссылки могут ссылаться на вредоносные скриплеты и загружать вредоносное ПО.

Исследователи Lastline Labs обнаружили, что описанный выше метод используется злоумышленниками для заражения компьютеров трояном Loki, предназначенным для похищения учетных данных. Вредоносные файлы попадают к жертвам через фишинговые письма. В ходе атаки эксплуатируется уже исправленная уязвимость CVE-2017-0199 в Microsoft Office/WordPad, позволяющая удаленно выполнить код.

Скриплет – технология, позволяющая создавать COM-компоненты (модели компонентного объекта) средствами простых в использования языков сценариев. Скриплет появился в 1997 году с выходом в свет Internet Explorer 4.0.

Источник: https://www.securitylab.ru/news/490456.php

Tags: office, security, virus, антивирус, вирус, информационная безопасность
Subscribe

  • Ну 5-го так 5-го...

    официально: microsoft выпустит office 2021 без подписки одновременно с windows 11 компания microsoft объявила дату релиза пакета офисных…

  • Office Insider Preview. Включение Бета-канала

    С момента официального представления широкой общественности новой Windows 11 прошло чуть больше недели поисков и различных тестов. Накопился…

  • Office Insider Preview

    Признаемся честно, что умеет делать хорошо компания Майкрософт, так это три продукта: Windows, Office и Windows Server. Если Windows и…

  • Post a new comment

    Error

    default userpic

    Your IP address will be recorded 

    When you submit the form an invisible reCAPTCHA check will be performed.
    You must follow the Privacy Policy and Google Terms of use.
  • 0 comments