Масштабная фишинговая кампания использует уязвимости в Microsoft Office для распространения FormBook
Компания FortiGuard Labs выявила серьезную фишинговую кампанию, направленную на устаревшие версии Microsoft Office, начиная с 2007 и по 2016 год. Основным механизмом атаки служит эксплуатация уязвимости CVE-2017-0199, связанной с возможностями OLE — связывания и внедрения объектов. Цель злоумышленников — распространение вредоносного ПО FormBook, предназначенного для кражи конфиденциальной информации.
Суть атаки и используемые методы
Фишинговые электронные письма, задействованные в кампании, маскируются под заказы на продажу и содержат вредоносные вложения формата Excel. При открытии таких документов запускается цепочка атакующих действий, включающая:
- Отправку HTTP-запроса на удалённый сервер для загрузки вредоносного HTA-файла.
- Эксплуатацию уязвимости CVE-2017-0199 через приложение Microsoft HTA (mshta.exe) для выполнения HTA-скрипта.
После этого начинается процесс создания и запуска дальнейших нагрузок. В частности, запускается команда sihost.exe, которая извлекает промежуточную полезную нагрузку под названием springmaker. Именно она в конечном итоге приводит к доставке и запуску вредоносного ПО FormBook.
Технические детали вредоносного ПО
Анализ образцов показал, что FormBook внедрен в ресурс документа с меткой «SCRIPT». Исследователи предполагают, что вредоносный код генерируется с помощью AutoIt-скриптов, включающих защитные механизмы от отладки на базе API IsDebuggerPresent. Если отладчик обнаружен, скрипт просто выводит сообщение о том, что это сторонний сценарий автоматической загрузки, что помогает скрыть вредоносную активность.
Почему угроза остаётся актуальной?
Несмотря на наличие официальных исправлений уязвимости CVE-2017-0199, многие организации продолжают оставаться уязвимыми по следующим причинам:
- Сбои и задержки в обновлении программного обеспечения;
- Несогласованное применение патчей и исправлений;
- Недостаточные меры безопасности и контроля в IT-инфраструктуре.
Последствия и рекомендации
Эта кампания представляет серьёзную угрозу, поскольку позволяет злоумышленникам:
- Компрометировать устройства конечных пользователей;
- Вытягивать конфиденциальные данные, включая учетные записи и нажатия клавиш;
- Получать доступ к информации из буфера обмена.
Для противодействия подобным атакам крайне важно:
- Регулярно обновлять программное обеспечение и своевременно применять патчи;
- Усилить протоколы безопасности электронной почты, включая фильтрацию вложений и проверку отправителей;
- Проводить обучение сотрудников по вопросам информационной безопасности и выявления фишинговых сообщений.
Фишинговые кампании нацелены на устаревшие технологии, и их актуальность сохраняется из-за слабости в управлении безопасностью организаций. Только комплексный подход к обновлениям и обучению сотрудников позволит снизить риски подобных угроз и защитить корпоративные и личные данные от кражи.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Фишинговая кампания на Microsoft Office: атака через уязвимость CVE-2017-0199".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.