Эксперты команды Cisco Talos рапортуют о целой новой кампании по распространению инфостилеров (т.е. информационных крадунов), в первую очередь Agent Tesla, во вторую — Loki и Gamarue. Эти вредоносы способных воровать вашу информацию из различных приложений, например, Google Chrome, Mozilla Firefox, Microsoft Outlook итд.
Казалось бы, что тут особенного? Новые вирусы, в том числе инфостилеры появляются каждую неделю. Дело в том, что в нынешней Agent Tesla-кампании хакеры используют модифицированный процесс эксплуатации известных уязвимостей в Microsoft Word ( CVE-2017-0199 и CVE-2017-11882 ). Таким образом они могут легко инфицировать ОС, не привлекая внимания санитаров, то есть, антивирусов — для этого вам достаточно просто открыть RTF-файл, сам по себе безобидный.
Этот RTF-файл самостоятельно загрузит конечный вредоносный модуль, не вызывая подозрений со стороны защитных решений. По словам специалистов Cisco Talos , только 2 из 58 антивирусов (!!!) сочли файл подозрительным, да и то при этом они всего лишь предупреждали, что документ «неправильно отформатирован».
Эксперты поясняют, что атака через безобидный вроде бы документ (кстати, это тренд сезона) эксплуатирует особенности формата RT, который поддерживает возможность встраивания объектов с помощью технологии Object Linking and Embedding (OLE) и использует большое количество управляющих слов для определения содержащегося контента. Обычно парсеры RTF игнорируют неизвестное содержимое, и тем самым становится проще простого сокрыть эксплоит в теле самого документа.
По сообщениям специалистов, хакеры применяют еще одну дополнительную меру для защиты вируса от прямого обнаружения: они меняют значения заголовка OLE-объекта, добавляя данные, которые выглядят как тег , но на деле являются эксплоитом для уязвимости CVE-2017-11882 в Microsoft Office.
АКБ также рекомендует читателям ознакомиться с оригинальной статьей в блоге Cisco Talos и узнать для себя много нового о том, каковы они — вирусы XXI века.
