Іранське угрупування MuddyWater почало використовувати нові вектори атак на телекомунікаційні і урядові організації. Як повідомляють фахівці компанії Clearsky Security, MuddyWater поповнила свої тактики, техніки і процедури (TTP) новими документами Microsoft Word, завантажуючи шкідливі файли через скомпрометовані сервери, а також експлуатуючи уразливість CVE-2017-0199.

Документи з макросами VBA завантажують замасковане під JPG шкідливе ПЗ на комп’ютер із сервера, що знаходиться в одній країні з жертвою. Дане ПЗ експлуатує уразливість Microsoft Office/WordPad Remote Code Execution Vulnerability w/Windows API (CVE-2017-0199). Уразливість здатні виявити тільки три рішеннями безпеки.

Після компрометації комп’ютера шкідник намагається підключитися до підконтрольного зловмисникам C&C-сервера і у разі невдачі користувач перенаправляється на “Вікіпедію”.

Для експлуатації згаданої вище уразливості угруповання використовує два види шкідливих документів. Перший документ використовує повідомлення про помилки, а другий експлуатує уразливість безпосередньо після його відкриття жертвою. Перший документ у порядку черги завантажує з C&C-сервера на систему шкідливе ПЗ першого і другого етапу. Деякі документи використовують обидва вектори атак.

Також за останні кілька років майже 440 мільйонів користувачів Android встановили додатки з Google Play Store, що містять нав’язливу рекламу.

До речі, спільна команда дослідників з Віргінського політехнічного інституту, аналітичного центру RAND і компанії Cyentia Institute опублікувала результати цікавого дослідження, з’ясувавши, яка кількість уразливостей, виявлених за останній десяток років, насправді використовувалася у реальних атаках.

Окрім цього, незважаючи на безліч шахрайських схем – від нав’язливої реклами і до майнінгу криптовалют за Ваш рахунок – існує кілька простих порад, які вбережуть Ваш браузер і комп’ютер від зовнішніх загроз.

Нагадаємо, Google планує вжити додаткових заходів для боротьби з шахрайськими розширеннями для Chrome. Так, Google планує видаляти розширення з веб-магазину Chrome, якщо вони порушують нові політики.