Новости Уязвимости Word ожили в руках возрождённого трояна LokiBot

NewsMaker

I'm just a script
Премиум
13,850
20
8 Ноя 2022
Хакеры нашли ещё одно применение сложным уязвимостям в очень простой атаке.


z1te7l5d4h73nlurkt2v17bq14boz7hl.jpg


Специалисты кибербезопасности из FortiGuard Labs Для просмотра ссылки Войди или Зарегистрируйся масштабную кампанию по распространению вредоносного ПО LokiBot (Loki PWS). Угроза примечательна тем, что используются две известные уязвимости, включая уязвимость Follina .

Троян LokiBot активно используется с 2015 года и специализируется на краже конфиденциальной информации с компьютеров под управлением Windows.

В ходе расследования было обнаружено множество вредоносных документов Microsoft Office. Расследование началось с анализа двух разных типов документов Word, каждый из которых представляет серьёзную угрозу для пользователей.

Первый тип документа содержал внешнюю ссылку, встроенную в XML-файл под названием «word/_rels/document.xml.rels». В обнаруженном документе Word, эксплуатирующем уязвимость Для просмотра ссылки Войди или Зарегистрируйся , был найден файл с названием «document.xml.rels». Этот файл содержал внешнюю ссылку, с помощью которой пользователь был перенаправлен на облачный сервис обмена файлами «GoFile» через сервис сокращения ссылок Cuttly.

Дальнейший анализ показал, что доступ по ссылке инициировал загрузку html -файла с использованием второй уязвимости Для просмотра ссылки Войди или Зарегистрируйся (Follina). Эта полезная нагрузка загружает файл инжектора с пометкой с вредоносного URL -адреса.

Второй тип документа использовал VBA-скрипт, который запускал вредоносный макрос при открытии документа. Этот файл был обнаружен в конце мая 2023 года. Скрипт автоматически запускался при открытии документа и расшифровывал различные массивы, сохраняя их во временной папке под названием «DD.inf».

Кроме того, был обнаружен еще один MSIL-загрузчик под названием «IMG_3360_103pdf.exe», созданный 30 мая 2023 года. Несмотря на то, что этот файл не принимал непосредственного участия в атаке, он также загружал LokiBot и подключался к тому же серверу управления и контроля ( C2 -сервер).


xyt17xdy6er5iq4hqugux9pkgp7wsqro.png


Цепочка заражения LokiBot

LokiBot – это вредоносное ПО, которое продолжает развиваться и адаптироваться, используя новые методы для более эффективного заражения компьютерных систем. Троян использует ряд уязвимостей и VBA-макросы, что делает LokiBot особо опасным в киберпространстве.

LokiBot Для просмотра ссылки Войди или Зарегистрируйся , а затем осуществляет поиск по локально установленным приложениям и извлекает из их внутренних баз данных логины и пароли. По умолчанию LokiBot может атаковать браузеры, клиенты электронной почты, FTP-приложения и криптовалютные кошельки.

Для защиты от подобных угроз пользователи должны быть особенно осторожны при работе с документами Office или неизвестными файлами, особенно теми, которые содержат ссылки на внешние веб-сайты. Важно избегать нажатия на подозрительные ссылки или открытия вложений от ненадежных источников. Обновление программного обеспечения и операционных систем до последних версий, содержащих все актуальные исправления, также может помочь снизить риск заражения вредоносным ПО.
 
Источник новости
www.securitylab.ru

Похожие темы