Нулевой день Windows Follina теперь используется для заражения ПК

Эксперты по безопасности недавно обнаружили хакеров, выполнявших особенно скрытную миссию по взлому отелей в Латинской Америке с использованием текстовых файлов OpenDocument.

Неизвестные хакеры используют редко встречающийся метод фишинга, который, по-видимому, до сих пор работает хорошо, при этом уровень обнаружения VirusTotal для используемых вредоносных файлов был равен нулю менее двух недель назад.

Сама кампания также вызвала ряд вопросов из-за некоторых уникальных особенностей и характеристик, которые отличают ее от других.

макро проблема

Исследователи кибербезопасности из HP Wolf Security заявили, что в конце июня 2022 года они обнаружили фишинговую кампанию по распространению текстовых файлов OpenDocument. OpenDocument — это открытый, независимый от поставщика формат файла, признанный большинством программ повышения производительности, таких как Word, LibreOffice Writer или Apache OpenOffice Writer, как одна из самых популярных альтернатив Microsoft Office.

Эти файлы были разосланы по электронной почте в отели Латинской Америки и представлены в качестве регистрационных документов гостей.

Если жертва загрузит и запустит файл, ей будет предложено «обновить поля со ссылками на другие файлы». Исследователи описывают подсказку как «зашифрованное сообщение» и говорят, что если жертва подтверждает ее, открывается файл Exel.

Затем файл Excel предложит пользователю включить макросы, и именно здесь начинается настоящая проблема, поскольку включение макросов запускает цепочку заражения. В результате у жертвы устанавливается AsyncRAT, троянская вредоносная программа для удаленного доступа (откроется в новой вкладке). AsyncRAT описывается как RAT, который позволяет злоумышленникам удаленно отслеживать и контролировать зараженные конечные точки (открывается в новой вкладке) через безопасное и зашифрованное соединение.

Исследователи говорят, что эта кампания особенно скрытна, потому что анализ OpenDocument не обнаруживает скрытых макросов. Но документ относится к объектам связывания и внедрения объектов (OLE), размещенным удаленно.

Было обнаружено, что документ ссылается почти на два десятка других документов, которые при загрузке и открытии содержат встроенные электронные таблицы Excel, каждая из которых требует запуска макросов.

Исследователи, похоже, немного сбиты с толку таким подходом, поскольку цель «так много дубликатов файлов» остается неясной.

«К документам, поступающим из-за пределов организации, всегда следует относиться с подозрением, особенно если они пытаются загрузить внешний контент из Интернета, но на практике не всегда легко следовать этому совету, особенно в отраслях, которые полагаются на обмен файлами. между поставщиками и клиентами», — заключил HP Wolf Security.

Поделиться