Computer-Hacker versucht nun, Computer weltweit mit einer neuen Methode zu infizieren, die die CVE-2017-0199 beschäftigt ausschöpfen. Die Angreifer haben eine neue Methode entwickelt, die Mißbräuche eine Funktion in den neuen Versionen von Microsoft Office gefunden in.
Microsoft Office-Funktions Abused Durch CVE-2017-0199 Exploit
Security Analyst in der Lage gewesen, eine neue gefährliche Hacker-Kampagne zu erkennen, die ein Verfahren zur Infektion verwendet. Die Experten konnten Missbrauch von Microsoft Office-Dateien erfassen, die für die Lieferung von Malware-Stämmen geführt haben. Die einzigartige Sache über die Vorfälle ist, dass sie eine neue Strategie, indem es ein neues Feature zu nutzen, die vor kurzem in die Microsoft Office-Suite integriert wurden.
Die tatsächliche exploit wird als Folgenden beschrieben:
Microsoft Office 2007 SP3, Microsoft Office 2010 SP2, Microsoft Office 2013 SP1, Microsoft Office 2016, Microsoft Windows Vista SP2, Windows Server 2008 SP2, Fenster 7 SP1, Fenster 8.1 erlauben es entfernten Angreifern, beliebigen Code über ein erstelltes Dokument auszuführen, aka “Microsoft Office / WordPad Sicherheitsanfälligkeit Remotecodeausführung w / Windows-API.”
Effektiv ermöglicht diese Malware durch missbrauchen die automatische Aktualisierung von eingebetteten Links in Dokumente eingefügt werden. Dies ist ein neues Feature, die jetzt standardmäßig für alle neu erstellten Dokumente. Wenn alle externen Ressourcen in den Dateien das jeweilige Programm verknüpft (Microsoft Word, Excel usw.) aktualisiert sie automatisch, wenn Änderungen vorgenommen werden.
Die Infektion Route folgt ein klassisches Szenario - der Hacker infizieren Dokumente mit automatisierten Mitteln erstellen. Die Dateien folgen einem vorgegebenen Muster, das nach Belieben verändert werden kann. Die gesammelten Proben zeigen, dass die Dokumente dem Titel sind “N_Order # xxxxx.docx” bei dem die “xxxxx” bezeichnen eine zufällig erzeugte Zahl. Wenn sie geöffnet führen die eingebetteten Links zu einem anderen Dokument (aktuelle Versionen einbetten eine RTF-Datei) die triggert den CVE 2017-0199 ausnutzen. Die Malware-Datei wird auf einem Hacker gesteuerten Download-Server gehostet. Die RTF-Datei selbst löst eine JavaScript-basierte Nutzlast, die Powershell verwendet einen Hacker-Malware zum Download bereitgestellt. Ein ähnlicher Angriff wurde über eine Powerpoint Open XML Diashow gemeldet (PPSX) Datei, die einen Keylogger Trojaner liefert, die der Hacker ermöglicht die Kontrolle über die infizierten Maschinen zu nehmen.
Microsoft Office Malware über CVE-2017-0199 Analyse Exploit
Die erfassten Proben mit den CVE-2017-0199 assoziiert Exploits werden von den Sicherheitsexperten analysiert worden. Es hat sich gezeigt, dass es Auswirkungen auf eine große Anzahl von Dateien und Ordnern wie: Microsoft Office-Vorlagen, Konfigurationsdateien, Benutzerdokumente, Lokale Einstellungen, Kekse, Temporäre Internetdateien, Anwendungsdaten und die damit verbundenen.
Während des Infektionsprozesses zeigt die Malware typische Browser-Hijacker-ähnliche Aktionen. Der Virus-Code extrahiert sensible Informationen aus dem installierten Web-Browser. In Abhängigkeit von der erhaltenen Probe kann die Liste umfasst die folgenden Anwendungen: Mozilla Firefox, Safari, Internet Explorer, Google Chrome und Microsoft Edge. Die Art der geernteten Daten können eine der folgenden Bedingungen umfassen: Geschichte, Formulardaten, Lesezeichen, Passwörter, Kontoanmeldeinformationen, Einstellungen und Cookies.
Die CVE-2017-0199 Exploit wurde durch Verzögerung seiner Infektion Motors eine gefährliche Stealth-Schutz-Funktion initiieren gefunden. Dies ist ein Versuch, die Anti-Virus-Signaturen überprüfen, um zu täuschen, da die meisten Computer-Viren sofort beginnen die infizierten Maschinen zu infiltrieren.
Der Trojaner enthalten mit der CVE-2017-0199-Exploit wurde gefunden, daß Berichtsdaten zu den Hackern über ihre eigene Netzinfrastruktur. Andere schädliche Aktionen umfassen die Schaffung eines bösartigen Windows-Start-Eintrag. Dies bedeutet, dass der Trojaner-Code wird bei jedem Start des Computers gestartet. Effektiv bedeutet dies, dass die Hacker die vollständige Kontrolle über das Betriebssystem und die Benutzerdateien überholen.
Folgen der CVE-2017-0199 Exploit-Angriffe
Als Folge der Infektionen werden die infizierten Computer mit einem Trojaner Beispiel links, die mit anderen Versionen geändert werden können. Während die aktuellen Angriffskampagnen gefunden worden, um die Malware in Frage verfügen, wir erwarten, dass diese Funktion integriert, um zu sehen in Exploit-Kits und Botnets. Sie können erweitert Ransomware verteilen, die viel ernste Schäden an die Opfer-Computer verursachen können.
Weitere mögliche Folgen sind die folgenden:
- Botnet Recruitment - Die infizierten Computer können zu einem weltweiten Netzwerk Botnet gelockt werden. Wenn diese die Ressourcen der Opfer Maschinen durchgeführt wird, werden genutzt, indem Sie ein vordefiniertes Szenario durch die Steuerung Hacker ausgegeben Malware Ziele zu verbreiten.
- Zusätzliche Malware-Infektion - Die manipulierte Computer kann mit anderen Bedrohungen infiziert werden, wie von den Hackern gerichtet.
- Identitätsdiebstahl - Die Kriminellen können die erhaltenen Informationen verwenden, zusammen mit anderen Dateien aus dem Automaten geholt führen Verbrechen einschließlich der finanziellen Missbrauch und Identitätsdiebstahl.
- Datendiebstahl - Die Malware-Schöpfer können den Trojaner nutzen private Daten ihrer Wahl über die Netzwerkverbindung zu stehlen.
Benutzer können sich schützen, indem sie einen Stand der Technik Anti-Spyware-Lösung unter Verwendung von. Es kann effektiv Schutz vor allen Arten von Computerviren und der damit verbundenen Bedrohungen und entfernen aktiven Infektionen mit dem Klicken der Maus.
Spy Hunter Scanner nur die Bedrohung erkennen. Wenn Sie wollen, dass die Bedrohung automatisch entfernt wird, Müssen sie die vollversion des anti-malware tools kaufen.Erfahren Sie mehr über SpyHunter Anti-Malware-Tool / Wie SpyHunter Deinstallieren
Martin Beltov
Martin hat einen Abschluss in Publishing von der Universität Sofia. er schreibt gerne über die neuesten Bedrohungen und Mechanismen des Eindringens Als Cyber-Security-Enthusiasten.
Folge mir: