Обнаружен способ кражи данных с помощью Word без использования макросов

Microsoft Word

Спамеры придумали новый способ кражи данных у пользователей. Достаточно открыть документ Word, при этом не важно, разрешено ли у пользователя исполнение макросов. Новая технология, набирающая обороты, была обнаружена исследователями Trustwave SpiderLabs в ходе проходящей сейчас кампании по борьбе с вредоносным ПО.
Мошенники используют многошаговую схему заражения компьютера, которая в итоге устанавливает программу, похищающую пароли. В Trustwave SpiderLabs утверждают, что на данный момент эту технику использует лишь одна группа спамеров, но вскоре ее подхватят и остальные.

Алгоритм кражи информации

Инфицирование может происходить через разные источники, такие как файлы с расширением DOCX, RTF, HTA, VBScript и PowerShell.

  • Жертва получает email с прикрепленным DOCX-файлом;
  • Далее пользователь загружает и открывает этот файл у себя;
  • Файл содержит встроенный OLE-объект, который загружает и запускает RTF-файл, замаскировавшийся под DOC;
  • DOC использует уязвимость редактора Office Equation Editor CVE-2017-11882;
  • Эксплойт открывает MSHTA-командную строку, в которой загружается и запускается HTA-файл;
  • Этот HTA-файл содержит VB-скрипт, который распаковывает PowerShell-скрипт;
  • PowerShell-скрипт загружает и устанавливает программу-похититель паролей;
  • Далее похищаются пароли из почты, браузеров и FTP-клиентов;
  • Полученные данные передаются на удаленный сервер.

Избежать такого заражения можно, если с осторожностью относиться к загружаемым файлам, а также регулярно обновлять Windows и Office.

Источник: BleepingComputer

Наши тесты для вас:
Какой язык программирования стоит выбрать для изучения?
Что вы знаете о работе мозга?
Насколько вы гиканутый?