+38/050/370-3627
+38/093/220-0872
+38/044/257-2444
Новини

Хакери використовують уразливості в MS Office для поширення бекдору Zyklon

Zyklon здатний витягувати паролі та встановлювати додаткові плагіни для майнінгу криптовалют.

Зловмисники експлуатують три порівняно свіжі вразливості у пакеті MS Office у спам-кампаніях, спрямованих на телекомунікаційні фірми, а також підприємства у страховому та фінансовому секторі. В рамках атак зловмисники поширюють шкідливе програмне забезпечення Zyklon – повноцінний бекдор, здатний записувати натискання клавіш, збирати паролі, а також завантажувати та встановлювати додаткові плагіни для майнінгу криптовалют та вилучення паролів.

Йдеться про три вразливості: CVE-2017-8759 у .NET Framework, CVE-2017-11882 у редакторі формул Microsoft Equation, а також функції Dynamic Data Exchange (DDE). Перші дві вразливості було виправлено у вересні та листопаді 2017 року. Хоча Microsoft не розглядає Dynamic Data Exchange як вразливість та наполягає на тому, що DDE - це функція, в минулому грудні компанія все ж таки випустила оновлення пакета MS Office, що відключає функціонал у програмі Word, для запобігання кібератакам.

У рамках атак зловмисники використовують один і той же домен для завантаження закодованого в Base64 скрипта PowerShell (Pause.ps1), який відповідає за резолвінг API, необхідних для виконання довільного коду. Скрипт також завантажує кінцевий шкідливий модуль, зазначають фахівці FireEye.

Окрім завантаження додаткових плагінів, Zyklon може здійснювати DDoS-атаки та вилучати паролі з браузерів та програмного забезпечення електронної пошти. Шкідливість використовує мережу Tor для маскування комунікацій зі своїм керуючим сервером. Як пояснили експерти, Zyklon містить зашифрований файл під назвою tor. Після розшифровки цей файл впроваджується в InstallUtiil.exe і працює як анонімайзер Tor.

Інші новини

Найкраща ціна