Sajber kriminalci za širenje malvera koriste linkove u dokumentima koji se automatski ažuriraju
Vesti, 21.08.2017, 08:00 AM
Istraživač Havier Mertens primetio je a zatim i analizirao maliciozni Word fajl koji je automatski preuzeo maliciozni RTF fajl što je na kraju dovelo do infekcije malverom.
Mertensu se napad učinio neobičnim jer se sa taktikom koju su koristili napadači nikada ranije nije sreo. Napadači koriste funkciju Microsoft Worda koja omogućava fajlovima da automatski ažuriraju linkove koje sadrže.
Vektor infekcije je klasičan - dokument pod nazivom "N_Order#xxxxx.docx sa 5 slučajno odabranih brojeva, koji stiže do korisnika kao atačment u emailu. Fajl ima umetnuti link za drugi dokument koji je maliciozni RTF fajl koji pokušava da iskoristi CVE 2017-0199.
Word fajl pokušava da pristupi malicioznom RTF fajlu i ako uspe u tome, kasnije preuzima JavaScript payload koji preuzima RAT Netwire.
Mertens kaže da se link ažurira bez interakcije korisnika, bez upozorenja ili zahteva korisniku da to odobri. Međutim, servis za analizu malvera Malwr pokazuje da fajl traži odorenje od žrtve da ažurira dokument.
Nedavno su istraživači iz kompanije Trend Micro primetili da se CVE 2017-0199 ranjivost iskorišćava za napade. U napadu koji su analizirali u Trend Micro mehanizam isporučivanja malvera je isti (email atačment), fajl koji služi kao mamac je PowerPoint Open XML Slide Show (PPSX) fajl, a sličan je i finalni payload koji se pokreće pomoću funkcije animacije PowerPoint Show.
Sve ovo podseća na relativno novu tehniku isporuke PowerPoint malvera. U tom slučaju, interakcija korisnika je neophodna. Žrtva mora da pređe kursorom miša preko linka u PowerPoint fajlu da bi pokrenula preuzimanje.
"Vreme će pokazati da li će ovaj novi načun infekcije postati popularan među kriminalcima. Činjenica da nije potreban macro je novina, a pokretanje (preuzimanja) bazirano na pokretima miša je pametan potez", kaže Žerom Segura, istraživač iz firme Malwarebytes.
Izdvojeno
Ove nedelje stupio na snagu prvi zakon koji zabranjuje slabe lozinke na pametnim uređajima
Nacionalni centar za sajber bezbednost Velike Britanije (NCSC) pozvao je proizvođače pametnih uređaja da se pridržavaju novog zakona koji im zabra... Dalje
Većina ljudi priznaje da se i dalje oslanja na pamćenje i olovku i papir za lozinke
Istraživanje o lozinkama koje je sprovela kompanija Bitwarden pokazalo je da se većina ljudi i dalje oslanja na pamćenje i olovku i papir kada je r... Dalje
Posle SAD, Avast kažnjen i u EU zbog kršenja zakona o zaštiti podataka korisnika
Kancelarija za zaštitu ličnih podataka u Češkoj (UOOU) izrekla je kaznu od 15,8 miliona evra kompaniji Avast zbog kršenja Opšte uredbe za zašti... Dalje
Google oglasi za Facebook vode do sajtova prevaranata
Google ima problem sa oglasima u pretrazi, upozorio je programer Džastin Poliačik, a njegove reči potvrdili su i istraživači kompanije Malwarebyt... Dalje
Zloglasna ransomware grupa HelloKitty najavila povratak i novo ime
Sajber kriminalci iz ransomware grupe ranije poznate kao HelloKitty objavili su da se naziv grupe menja u „HelloGookie“. Oni su objavili n... Dalje
Pratite nas
Nagrade