Хакеры нашли ещё одно применение сложным уязвимостям в очень простой атаке.
Специалисты кибербезопасности из FortiGuard Labs Для просмотра ссылки Войдиили Зарегистрируйся масштабную кампанию по распространению вредоносного ПО LokiBot (Loki PWS). Угроза примечательна тем, что используются две известные уязвимости, включая уязвимость Follina .
Троян LokiBot активно используется с 2015 года и специализируется на краже конфиденциальной информации с компьютеров под управлением Windows.
В ходе расследования было обнаружено множество вредоносных документов Microsoft Office. Расследование началось с анализа двух разных типов документов Word, каждый из которых представляет серьёзную угрозу для пользователей.
Первый тип документа содержал внешнюю ссылку, встроенную в XML-файл под названием «word/_rels/document.xml.rels». В обнаруженном документе Word, эксплуатирующем уязвимость Для просмотра ссылки Войдиили Зарегистрируйся , был найден файл с названием «document.xml.rels». Этот файл содержал внешнюю ссылку, с помощью которой пользователь был перенаправлен на облачный сервис обмена файлами «GoFile» через сервис сокращения ссылок Cuttly.
Дальнейший анализ показал, что доступ по ссылке инициировал загрузку html -файла с использованием второй уязвимости Для просмотра ссылки Войдиили Зарегистрируйся (Follina). Эта полезная нагрузка загружает файл инжектора с пометкой с вредоносного URL -адреса.
Второй тип документа использовал VBA-скрипт, который запускал вредоносный макрос при открытии документа. Этот файл был обнаружен в конце мая 2023 года. Скрипт автоматически запускался при открытии документа и расшифровывал различные массивы, сохраняя их во временной папке под названием «DD.inf».
Кроме того, был обнаружен еще один MSIL-загрузчик под названием «IMG_3360_103pdf.exe», созданный 30 мая 2023 года. Несмотря на то, что этот файл не принимал непосредственного участия в атаке, он также загружал LokiBot и подключался к тому же серверу управления и контроля ( C2 -сервер).
Цепочка заражения LokiBot
LokiBot – это вредоносное ПО, которое продолжает развиваться и адаптироваться, используя новые методы для более эффективного заражения компьютерных систем. Троян использует ряд уязвимостей и VBA-макросы, что делает LokiBot особо опасным в киберпространстве.
LokiBot Для просмотра ссылки Войдиили Зарегистрируйся , а затем осуществляет поиск по локально установленным приложениям и извлекает из их внутренних баз данных логины и пароли. По умолчанию LokiBot может атаковать браузеры, клиенты электронной почты, FTP-приложения и криптовалютные кошельки.
Для защиты от подобных угроз пользователи должны быть особенно осторожны при работе с документами Office или неизвестными файлами, особенно теми, которые содержат ссылки на внешние веб-сайты. Важно избегать нажатия на подозрительные ссылки или открытия вложений от ненадежных источников. Обновление программного обеспечения и операционных систем до последних версий, содержащих все актуальные исправления, также может помочь снизить риск заражения вредоносным ПО.
Специалисты кибербезопасности из FortiGuard Labs Для просмотра ссылки Войди
Троян LokiBot активно используется с 2015 года и специализируется на краже конфиденциальной информации с компьютеров под управлением Windows.
В ходе расследования было обнаружено множество вредоносных документов Microsoft Office. Расследование началось с анализа двух разных типов документов Word, каждый из которых представляет серьёзную угрозу для пользователей.
Первый тип документа содержал внешнюю ссылку, встроенную в XML-файл под названием «word/_rels/document.xml.rels». В обнаруженном документе Word, эксплуатирующем уязвимость Для просмотра ссылки Войди
Дальнейший анализ показал, что доступ по ссылке инициировал загрузку html -файла с использованием второй уязвимости Для просмотра ссылки Войди
Второй тип документа использовал VBA-скрипт, который запускал вредоносный макрос при открытии документа. Этот файл был обнаружен в конце мая 2023 года. Скрипт автоматически запускался при открытии документа и расшифровывал различные массивы, сохраняя их во временной папке под названием «DD.inf».
Кроме того, был обнаружен еще один MSIL-загрузчик под названием «IMG_3360_103pdf.exe», созданный 30 мая 2023 года. Несмотря на то, что этот файл не принимал непосредственного участия в атаке, он также загружал LokiBot и подключался к тому же серверу управления и контроля ( C2 -сервер).
Цепочка заражения LokiBot
LokiBot – это вредоносное ПО, которое продолжает развиваться и адаптироваться, используя новые методы для более эффективного заражения компьютерных систем. Троян использует ряд уязвимостей и VBA-макросы, что делает LokiBot особо опасным в киберпространстве.
LokiBot Для просмотра ссылки Войди
Для защиты от подобных угроз пользователи должны быть особенно осторожны при работе с документами Office или неизвестными файлами, особенно теми, которые содержат ссылки на внешние веб-сайты. Важно избегать нажатия на подозрительные ссылки или открытия вложений от ненадежных источников. Обновление программного обеспечения и операционных систем до последних версий, содержащих все актуальные исправления, также может помочь снизить риск заражения вредоносным ПО.
- Источник новости
- www.securitylab.ru