Computer hackere er nu forsøger at inficere computere over hele verden ved hjælp af en ny metode, der benytter den CVE-2017-0199 udnytte. Angriberne har udtænkt en ny metode, der misbruger en funktion findes i de nye versioner af Microsoft Office.
Microsoft Office Feature Misbrugt Gennem CVE-2017-0199 Exploit
Sikkerhed analytiker har været i stand til at opdage en ny farlig hacker kampagne, der bruger en metode for infektion. Eksperterne var i stand til at opdage misbrug af Microsoft Office-filer, som har ført til levering af malware stammer. Det unikke ved hændelserne er, at de brugte en ny strategi ved at udnytte en ny funktion, der for nylig blev integreret i Microsoft Office-pakken.
Den faktiske exploit er beskrevet som følgende:
Microsoft Office 2007 SP3, Microsoft Office 2010 SP2, Microsoft Office 2013 SP1, Microsoft Office 2016, Microsoft Windows Vista SP2, Windows Server 2008 SP2, Vinduer 7 SP1, Vinduer 8.1 muligt for fjernangribere at udføre vilkårlig kode via en fabrikeret dokument, aka “Microsoft Office / WordPad fjernkørsel sårbarhed m / Windows API.”
Effektivt dette giver malware, der skal indsættes i dokumenter ved at misbruge den automatiske opdatering af indlejrede links. Dette er en nye funktioner, der er nu slået til som standard for alle nyoprettede dokumenter. Hvis eventuelle eksterne ressourcer er forbundet i filerne det relevante program (Microsoft Word, Excel og osv) vil automatisk opdatere dem, hvis der foretages ændringer.
Infektionen rute følger en klassisk scenarie - hackerne skabe inficerede dokumenter ved hjælp af automatiske midler. Filerne følge en foruddefineret mønster, der kan ændres efter behag. De indsamlede prøver fremvise, at dokumenterne er titlen “N_Order # xxxxx.docx” hvor er “xxxxx” betegne et tilfældigt genereret nummer. Hvornår åbnede den integrerede links fører til et andet dokument (aktuelle versioner integrere en RTF-fil) der udløser CVE 2017-0199 udnytte. Den malware fil er hostet på en hacker-kontrolleret downloade server. Den RTF-fil selv udløser en JavaScript-baseret nyttelast, der bruger PowerShell til at hente en hacker-forudsat malware. Et lignende angreb blev rapporteret via en PowerPoint Open XML diasshow (PPSX) fil, som leverer en keylogger trojansk hest, der gør det muligt for hackere at overtage kontrollen over de inficerede maskiner.
Microsoft Office Malware via CVE-2017-0199 Exploit Analyse
De optagne prøver er forbundet med CVE-2017-0199 exploit er blevet analyseret af de sikkerhedsmæssige forskere. Det har vist sig, at det påvirker en lang række filer og mapper såsom: Microsoft Office-skabeloner, konfigurationsfilerne, User dokumenter, Lokale indstillinger, Småkager, Temporary Internet Files, Applikationsdata og relateret.
Under infektionen proces malware montrer typiske browser flykaprer-lignende handlinger. Den virus kode udtrækker følsomme oplysninger fra de installerede webbrowsere. Afhængig af den opnåede stikprøve listen kan omfatte de følgende programmer: Mozilla Firefox, Safari, Internet Explorer, Google Chrome og Microsofts Edge. Typen af høstede data kan indbefatte noget af følgende: historie, formulardata, bogmærker, adgangskoder, kontooplysninger, indstillinger og cookies.
Den CVE-2017-0199 Exploit har vist sig at indlede en farlig stealth beskyttelse funktion ved at forsinke sin infektion motor. Dette er et forsøg på at vildlede anti-virus signaturer tjek da de fleste computervirus straks begynder at infiltrere de inficerede maskiner.
Den trojanske følger med CVE-2017-0199 exploit har vist sig at rapportdata til hackere via deres eget netværk infrastruktur. Andre ondsindede handlinger omfatter oprettelsen af en ondsindet Windows opstart post. Det betyder, at den trojanske koden startes hver gang computeren starter. Effektivt betyder det, at hackere kan overhale fuld kontrol over operativsystemet og de brugerfiler.
Følgerne af CVE-2017-0199 Exploit angreb
Som et resultat af de infektioner de kompromitterede computere står tilbage med en trojansk instans, der kan ændres med andre versioner. Mens de nuværende angreb kampagner har vist sig at funktionen malware pågældende, Vi forventer at se denne funktion integreret i at udnytte kits og botnets. De kan distribuere avanceret ransomware, som kan forårsage meget mere alvorlig skade på offeret computere.
Andre mulige konsekvenser omfatter følgende:
- botnet Rekruttering - De inficerede computere kan lokkes til en verdensomspændende botnet-netværk. Når dette er gjort af ressourcerne i de offer maskiner udnyttes til at sprede malware til mål ved at følge en foruddefineret scenarie er udstedt af de kontrollerende hackere.
- Yderligere malwareinfektion - De kompromitterede computere kan være inficeret med andre trusler som anvist af hackere.
- Identitetstyveri - De kriminelle kan bruge den opnåede information sammen med andre filer hentet fra maskinerne til at udføre forbrydelser, herunder finansiel misbrug og identitetstyveri.
- datatyveri - De malware skabere kan bruge den trojanske at stjæle private data efter eget valg via netværksforbindelsen.
Brugere kan beskytte sig selv ved at ansætte en state of the art anti-spyware løsning. Det kan effektivt beskytte mod alle typer af computervirus og relaterede trusler og fjerne aktive infektioner med et klik på musen.
Spy Hunter scanner kun detektere trussel. Hvis du ønsker, at truslen skal fjernes automatisk, du nødt til at købe den fulde version af anti-malware værktøj.Læs mere om SpyHunter Anti-Malware værktøj / Sådan fjernes SpyHunter
Martin Beltov
Martin dimitterede med en grad i Publishing fra Sofia Universitet. Som en cybersikkerhed entusiast han nyder at skrive om de nyeste trusler og mekanismer indbrud.
Følg mig: