Gli hacker stanno ora cercando di infettare i computer di tutto il mondo utilizzando un nuovo metodo che impiega l'CVE-2017-0199 exploit. Gli aggressori hanno messo a punto un nuovo metodo che gli abusi di una funzione trovato in nelle nuove versioni di Microsoft Office.
Caratteristica di Microsoft Office maltrattati attraverso la CVE-2017-0199 Exploit
analista della sicurezza sono stati in grado di rilevare una nuova campagna di hacker pericoloso che utilizza un metodo di infezione. Gli esperti sono stati in grado di rilevare l'abuso di file di Microsoft Office che ha portato alla consegna di ceppi di malware. L'unica cosa sugli incidenti è che hanno usato una nuova strategia sfruttando una nuova funzionalità che è stato recentemente integrato nella suite Microsoft Office.
L'attuale exploit è descritto come segue:
Microsoft Office 2007 SP3, Microsoft Office 2010 SP2, Microsoft Office 2013 SP1, Microsoft Office 2016, Microsoft Windows Vista SP2, Windows Server 2008 SP2, Windows 7 SP1, Windows 8.1 permettono attaccanti remoti di eseguire codice arbitrario tramite un documento predisposto, aka “Microsoft Office / WordPad codice in modalità remota vulnerabilità w / API di Windows.”
Effettivamente questo permette di malware da inserire nei documenti abusando l'aggiornamento automatico dei link incorporati. Questa è una nuova funzionalità che è ora di default per tutti i nuovi documenti. Se tutte le risorse esterne sono collegate nei file di programma pertinente (Microsoft Word, Excel e così via) aggiorna automaticamente loro se vengono apportate modifiche.
Il percorso segue l'infezione uno scenario classico - gli hacker creano documenti infetti utilizzando strumenti automatizzati. I file seguono un modello predefinito che può essere modificato a piacimento. I campioni raccolti vetrina che i documenti sono intitolati “N_Order # xxxxx.docx” dove il “xxxxx” denotare un numero generato in modo casuale. Una volta aperto il link incorporati portano ad un altro documento (le attuali versioni incorporare un file RTF) che innesca la CVE 2017-0199 exploit. Il file del malware è ospitato su un server per il download di hacker controllato. Il file RTF si innesca un carico utile JavaScript-based che utilizza PowerShell per scaricare malware hacker fornito. Un attacco simile è stato segnalato attraverso un PowerPoint Slide Show Open XML (PPSX) il file che fornisce un Trojan keylogger che permette agli hacker di prendere il controllo dei computer infetti.
Microsoft Office Malware via CVE-2017-0199 Exploit Analysis
I campioni catturati associati alla CVE-2017-0199 exploit sono stati analizzati dai ricercatori di sicurezza. E 'stato riscontrato che l'impatto di un gran numero di file e cartelle, come: modelli di Microsoft Office, I file di configurazione, documenti utente, Impostazioni locali, Biscotti, File temporanei di Internet, dati applicazioni e relativo.
Durante il processo di infezione malware mette in mostra le tipiche azioni dirottatore-like del browser. Il codice del virus estrae le informazioni sensibili dai browser web installati. A seconda del campione ottenuto l'elenco può includere le seguenti applicazioni: Mozilla Firefox, Safari, Internet Explorer, Google Chrome e Microsoft Edge. Il tipo di dati raccolti possono includere uno dei seguenti: storia, dati del modulo, segnalibri, password, Credenziali dell'account, impostazioni e biscotti.
Il CVE-2017-0199 Exploit è stato trovato per avviare una funzione di protezione dello stealth pericoloso ritardando il suo motore di infezione. Questo è un tentativo di ingannare il controllare le firme anti-virus come la maggior parte dei virus informatici inizia immediatamente a infiltrarsi nelle macchine compromesse.
Il Trojan incluso con il CVE-2.017-0.199 exploit è stato trovato per dati del report per gli hacker tramite la propria infrastruttura di rete. Altre azioni pericolose includono la creazione di un dannoso voce di avvio di Windows. Ciò significa che il codice Trojan viene avviato ogni volta che il computer si avvia. Effettivamente questo significa che gli hacker possono superare il controllo completo del sistema operativo ei file degli utenti.
Conseguenze della CVE-2017-0199 Exploit Attacchi
Come conseguenza delle infezioni dei computer compromessi sono lasciati con un'istanza di Troia che può essere modificato con altre versioni. Mentre le campagne di attacco attuali sono stati trovati per caratterizzare il malware in questione, ci aspettiamo di vedere questa funzionalità integrata nel kit di exploit e botnet. Essi possono distribuire ransomware avanzato che può causare ben più gravi danni ai computer delle vittime.
Altre conseguenze possibili sono le seguenti:
- Reclutamento botnet - I computer infetti possono essere attirati in una rete botnet in tutto il mondo. Quando questo è fatto le risorse dei computer delle vittime sono utilizzati per diffondere malware ai target seguendo uno scenario predefinito rilasciato dagli hacker che controllano.
- Ulteriori infezione da malware - I computer compromessi possono essere infettati con altre minacce come indicato dal hacker.
- Furto d'identità - I criminali possono utilizzare le informazioni ottenute insieme ad altri file recuperati dalle macchine per condurre reati tra cui abuso finanziario e il furto di identità.
- Il furto di dati - I creatori di malware possono utilizzare il Trojan per rubare dati privati di propria scelta tramite la connessione di rete.
Gli utenti possono proteggersi utilizzando uno stato dell'arte della soluzione anti-spyware. Si può effettivamente guardia contro ogni tipo di virus informatici e minacce correlate e rimuovere le infezioni attive con un clic del mouse.
Spy Hunter scanner rileva solo la minaccia. Se si desidera che la minaccia da rimuovere automaticamente, è necessario acquistare la versione completa del tool anti-malware.Per saperne di più sullo strumento SpyHunter Anti-Malware / Come disinstallare SpyHunter
Martin Beltov
Martin si è laureato con una laurea in Pubblicazione da Università di Sofia. Come un appassionato di sicurezza informatica si diletta a scrivere sulle ultime minacce e meccanismi di intrusione.
Seguimi: