Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Фишинг и уязвимость CVE-2017-11882: новая угроза Formbook

2
2 мин
Компания FortiGuard Labs, принадлежащая Fortinet, обнаружила новые угрозы в киберпространстве—фишинговую кампанию, использующую уязвимость CVE-2017-11882. Данная уязвимость, связанная с редактором Microsoft Equation Editor, позволяет злоумышленникам выполнять удаленное выполнение кода (RCE). В рамках текущей кампании злоумышленники предлага­ют новый вариант Formbook—вредоносного ПО, нацеленного на кражу конфиденциальной информации. Formbook ориентирован на системы Windows и предназначен для извлечения следующих данных: Фишинговое электронное письмо маскируется под заказ на продажу и предлагает получателям открыть вложенный документ Word. При открытии документа происходит следующее: После активации, извлеченная библиотека DLL инициирует загрузку полезной нагрузки Formbook, замаскированной под файл формата PNG. Это позволяет избежать обнаружения антивирусными решениями на уровне endpoint security, что делает её бесфайловым вариантом Formbook. Вредоносное ПО использует передовые методы, в
Оглавление

Компания FortiGuard Labs, принадлежащая Fortinet, обнаружила новые угрозы в киберпространстве—фишинговую кампанию, использующую уязвимость CVE-2017-11882. Данная уязвимость, связанная с редактором Microsoft Equation Editor, позволяет злоумышленникам выполнять удаленное выполнение кода (RCE).

Подробности угрозы

В рамках текущей кампании злоумышленники предлага­ют новый вариант Formbook—вредоносного ПО, нацеленного на кражу конфиденциальной информации. Formbook ориентирован на системы Windows и предназначен для извлечения следующих данных:

  • Сохранённые учётные данные;
  • Нажатия клавиш;
  • Скриншоты;
  • Содержимое буфера обмена.

Фишинговое электронное письмо маскируется под заказ на продажу и предлагает получателям открыть вложенный документ Word. При открытии документа происходит следующее:

  1. Извлекается 64-разрядный DLL-файл с именем «AdobeID.pdf» во временную папку системы.
  2. Запускается уязвимость в Equation Editor, что позволяет активировать библиотеку DLL.
  3. Данная библиотека служит как загрузчиком и установщиком Formbook, создавая запись об автоматическом запуске в реестре.

Скрытая угроза: бесфайловый вариант Formbook

После активации, извлеченная библиотека DLL инициирует загрузку полезной нагрузки Formbook, замаскированной под файл формата PNG. Это позволяет избежать обнаружения антивирусными решениями на уровне endpoint security, что делает её бесфайловым вариантом Formbook.

Технологические характеристики внедрения

Вредоносное ПО использует передовые методы, включая «опустошение процесса», чтобы внедриться в существующий процесс—например, в C:Program Files (x86)Windows Photo ViewerImagingDevices.exe. Основные API-вызовы включают:

  • NtWriteFile()
  • NtCreateSection()
  • NtMapViewOfSection()

Эти вызовы эффективно отображают расшифрованный исполняемый файл Formbook в память целевого процесса. После завершения подготовки в целевом процессе устанавливается точка входа вредоносной программы, что позволяет ей продолжить выполнение и успешно запустить полезную нагрузку Formbook.

Факт использования таких сложных технологий подчеркивает необходимость постоянного мониторинга и обновления систем безопасности.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Фишинг и уязвимость CVE-2017-11882: новая угроза Formbook".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.

Кибербезопасность
25,6 тыс интересуются