Эксперты компании Menlo Security зафиксировали волну кибератак на финансовые и IT-организации. Нападение ведется новым многоступенчатым методом, использующим уязвимость Microsoft Word.

Вредоносные документы пересылаются на электронные адреса сотрудникам крупных корпораций в фишинговых письмах. Как правило, это файлы в формате docx, которые содержат специальные теги HTML с зараженными элементами. Проникая в устройства, эти файлы загружают вредоносное программное обеспечение FormBook, которое может передать хакерам большую часть функционала компьютера. Речь идет о загрузке документов, захват паролей, запуск различных приложений, записи порядка нажатия клавиш, просмотр содержимого буфера обмена, выполнять различные команды, завершать и перезагружать работу системы.

Причем антивирусные программы не замечают подобную цепочку вредоносных действий из-за отсутствия сторонних ссылок или подозрительного контента.

При просмотре в режиме редактирования внедренный в документ тег указывает на сокращенный URL, определенный в файле webSettings.xml.rels документа. URL указывает на расположенные во Франции и США C&C-серверы, с которых в свою очередь загружается вредоносный RTF-файл. «Когда открыт документ RTF со встроенным объектом, данный объект автоматически переносится в папку %TEMP% в Windows. Подобный метод также использовался членами хакерской группировки Cobalt», — цитирует экспертов специализированное издание SecurityLab.

Особенность новой волны атак в том, что для активации вредного вложения не требуется макрос. Уязвимость удаленного выполнения кода, которую используют злоумышленники, называется CVE-2017-8570, она связана с механизмом обработки объектов в памяти компьютера.

Ранее хакеры нашли другой оригинальный способ взламывать компьютеры через файлы Word. Заразиться можно от документов в формате DOCX, RTF, HTA, VBScript и PowerShell. Пользователь получает спам-письмо. Он загружает прикрепленный файл. Это приводит к установке на компьютере вредоносной программы. Далее программа получает доступ к паролям и пересылает их мошенникам.

Кибератака нацелена на американские компании и фирмы, расположенные в ближневосточном секторе. Специалисты подозревают, что новый многоступенчатый механизм так же является продуктом работы хакерской группировки Cobalt, так как метод атаки на финансовые компании с помощью фишинговых писем является для них основным способом совершения киберпреступлений.