Microsoft опублікувала подробиці нещодавніх атаках на комп’ютери з ОС Windows, які використовують у телекомунікаційних компаніях.
У ході атак зловмисники (ймовірно, APT-група MuddyWater) експлуатували уразливість WinRAR (CVE-2018-20250), яка в останні місяці має велику популярність у кіберзлочинців. Зловмисники озброїлися нею відразу після публікації компанії Check Point від 20 лютого. Дослідники продемонстрували, як через уразливість можна виконати довільний код на системі за допомогою особливим чином сконфігурованого файлу ACE.
Нова, виправлена версія WinRAR вийшла за місяць до публікації Check Point, але навіть в березні Microsoft як і раніше детектувала атаки з використанням CVE-2018-20250.
В ході березневої кампанії зловмисники розсилали фішингові листи нібито від Міністерства внутрішніх справ Афганістану. Використовувані ними методи соціальної інженерії були продумані до дрібниць з метою забезпечення повної віддаленої компрометації системи в рамках обмеженою уразливості в WinRAR.
Фішингові листи містили документ Microsoft Word з посиланням на інший документ на OneDrive. Ніяких шкідливих макросів в ньому не було, ймовірно для того щоб уникнути виявлення атаки. Зате документ, що завантажується з OneDrive, містив шкідливі макроси, після активації яких на систему жертви завантажувалося шкідливе ПЗ.
У документі також була кнопка “Next page”, що відображає підроблене повідомлення про відсутність потрібного файлу DLL і необхідності перезавантаження комп’ютера. Цей трюк був потрібен, так як уразливість дозволяє шкідливому ПЗ тільки записувати файли в певну папку, але не запускати їх відразу ж. Тому ідеальним варіантом був запуск шкідника в папці “Автозавантаження” (Startup), яка запускалась відразу після перезавантаження комп’ютера. Після перезавантаження на зараженій системі запускався бекдор PowerShell, що надає зловмисникам повний контроль над нею.
Дослідники попереджають, що всім 500 мільйонам користувачів WinRAR може загрожувати небезпека, оскільки знайдена проблема існує приблизно 19 років.
До речі, фахівці з комп’ютерної безпеки виявили систему вірусів під назвою DrainerBot, яка приховано витрачає інтернет-трафік мобільних пристроїв на Android.
Також Cybercalm писав, як максимально замаскувати Вашу присутність у Мережі та вберегтися від рекламних оголошень.
