Безопасность
Технический

Усовершенствованный троян Agent Tesla теперь распространяется посредством хитроумной комбинации, включающей использование шестилетней ошибки в Excel и стеганографии.

Точка входа агента

Старая уязвимость, затрагивающая Microsoft Office, теперь используется киберпреступниками для распространения вредоносного ПО под названием Agent Tesla.

Атака начинается с отправки потенциальной жертве «скрытых» документов Excel (обычно своего рода воображаемого счета). После открытия встроенный вредоносный модуль использует уязвимость CVE-2017-11882 — «ошибку» в 7,8 балла в редакторе формул MS Office, которая вызывает повреждение памяти. Уязвимость позволяет выполнить вредоносный код с привилегиями текущего пользователя.

Вредоносная программа, внедренная в документ, устанавливает соединение с внешним ресурсом, находящимся под контролем злоумышленников, и загружает оттуда дополнительные файлы. Для этого не требуется поддержка конечного пользователя.

22_12_23_microsoft_700.jpg

Microsoft не устранила уязвимость в Excel, обнаруженную в 2017 году

Первым загружается скрипт, написанный на Visual Basic, который, в свою очередь, инициирует загрузку изображения JPG, содержащего встроенный файл DLL, закодированный по протоколу Base64. Эта стеганографическая тактика позволяет значительно снизить уровень обнаружения.

DLL встроена в системный файл Regasm.exe (инструмент регистрации сборок) и используется для запуска конечного звена цепочки заражения — Агента Тесла.

Это вредоносное ПО представляет собой продвинутый кейлоггер и троян удаленного доступа, написанный на .NET. Его цель — извлечь важную информацию со скомпрометированных устройств и передать ее на удаленный сервер.

Старость – это радость

«Патчи для уязвимостей в популярном программном обеспечении обычно выпускаются в течение очень короткого времени после их обнаружения. Таким образом, первые четыре цифры индекса CVE соответствуют как году открытия, так и году исправления», — объясняет Михаил Зайцев, эксперт по информационной безопасности SEQ. По его словам, если уязвимости с 2017 по 2020 годы сейчас успешно эксплуатируются, это означает, что за последние три-шесть лет администраторы пострадавших организаций не успели их исправить. «И это все равно, что оставить окно на первом этаже открытым в районе, где, как мы знаем, высокий уровень преступности. Ни окно не закроется само по себе, ни уязвимость не устареет настолько, что никому не придет в голову ею воспользоваться», — заключил Михаил Зайцев.

ЧИТАТЬ   Тысячи поклонников Call of Duty играют в классические игры для Xbox 360 благодаря серверному патчу

Как правительство поддерживает внедрение искусственного интеллекта

Поддержка IT-индустрии

na glavnuyu crop 600 400

Как отмечает The Hacker News, это не первый случай, когда киберпреступники используют старые уязвимости для проведения атак. Недавний пример — использование «ошибки» в Oracle WebLogic Server (CVE-2020-14883, 7,2 балла по шкале угроз CVSS). Члены банды 8220 используют эту уязвимость для распространения криптомайнеров.

Также стоит отметить, что вышеупомянутый Regasm.exe использовался для загрузки DLL во время распространения вредоносного ПО Quasar RAT.

Ромен Георгиев

Source

От admin