Фахівці з кібербезпеки компанії Cisco Talos помітили нову хвилю з розповсюдження шкідливих програм. Так, інфостилери Agent Tesla, Loki і Gamarue здатні отримувати інформацію з різних додатків, наприклад, Google Chrome, Mozilla Firefox, Microsoft Outlook тощо. Про це йдеться у блозі компанії Cisco Talos.
Відмінна особливість цієї хакерської атаки – у використанні модифікованого процесу експлуатації відомих вразливостей в Microsoft Word (CVE-2017-0199 і CVE-2017-11882), що дозволяє інфікувати систему, не привертаючи уваги антивірусів.
На першому етапі зловмисники розсилають шкідливі документи Microsoft Word, що містять RTF файл. Саме він завантажує кінцевий шкідливий модуль, не викликаючи підозру з боку захисних рішень. За словами фахівців, тільки 2 з 58 антивірусів визнали файл підозрілим, при цьому вони всього лише попереджали, що документ неправильно відформатований.
Атака експлуатує особливості формату RTF, який підтримує можливість вбудовування об’єктів за допомогою технології Object Linking and Embedding (OLE) і використовує велику кількість керуючих слів для визначення вмісту. Зазвичай парсери RTF ігнорують невідомий вміст, тим самим надаючи відмінну можливість приховати експлойт. В результаті для запуску коду зловмисникам не потрібно змушувати користувача змінювати налаштування в Microsoft Word або натискати на будь-які опції.
Окрім цього, для приховання шкідливого документа від виявлення зловмисники змінюють значення заголовка OLE-об’єкта, додаючи дані, які виглядають як тег <FONT>, але насправді є експлойтом для уразливості CVE-2017-11882 в Microsoft Office.