コンピューターハッカーは現在、CVE-2017-0199エクスプロイトを使用する新しい方法を使用して世界中のコンピューターに感染しようとしています。. 攻撃者は、MicrosoftOfficeの新しいリリースにある機能を悪用する新しい方法を考案しました。.
CVE-2017-0199エクスプロイトを通じて悪用されたMicrosoftOfficeの機能
セキュリティアナリストは、感染方法を使用する新しい危険なハッカーキャンペーンを検出することができました. 専門家は、マルウェア株の配信につながったMicrosoftOfficeファイルの悪用を検出することができました. インシデントのユニークな点は、最近MicrosoftOfficeスイートに統合された新機能を利用して新しい戦略を使用したことです。.
実際のエクスプロイトは次のように説明されています:
マイクロソフトオフィス 2007 SP3, マイクロソフトオフィス 2010 SP2, マイクロソフトオフィス 2013 SP1, マイクロソフトオフィス 2016, Microsoft Windows Vista SP2, Windows Server 2008 SP2, ウィンドウズ 7 SP1, ウィンドウズ 8.1 リモートの攻撃者が細工したドキュメントを介して任意のコードを実行できるようにする, 別名 “Microsoft Office / WordPadリモートコード実行の脆弱性(Windows APIを使用)。”
事実上、これにより、埋め込まれたリンクの自動更新を悪用することにより、マルウェアをドキュメントに挿入できます。. これは、新しく作成されたドキュメントに対してデフォルトでオンになっている新機能です。. 外部リソースがファイルにリンクされている場合、関連するプログラム (マイクロソフトワード, Excelなど。) 変更が加えられると自動的に更新されます.
感染経路は古典的なシナリオに従います。ハッカーは自動化された手段を使用して感染したドキュメントを作成します. ファイルは、自由に変更できる事前定義されたパターンに従います. 収集されたサンプルは、ドキュメントにタイトルが付けられていることを示しています “N_Order#xxxxx.docx” どこ “xxxxx” ランダムに生成された数を示します. 埋め込まれたリンクを開くと、別のドキュメントにつながります (現在のバージョンはRTFファイルを埋め込みます) CVEをトリガーします 2017-0199 エクスプロイト. マルウェアファイルは、ハッカーが制御するダウンロードサーバーでホストされています. RTFファイル自体が、PowerShellを使用してハッカーが提供したマルウェアをダウンロードするJavascriptベースのペイロードをトリガーします. 同様の攻撃がPowerPointOpenXMLスライドショーを介して報告されました (PPSX) ハッカーが感染したマシンの制御を引き継ぐことを可能にするキーロガートロイの木馬を配信するファイル.
CVEを介したMicrosoftOfficeマルウェア-2017-0199エクスプロイト分析
CVE-2017-0199エクスプロイトに関連してキャプチャされたサンプルは、セキュリティ研究者によって分析されています. 次のような多数のファイルやフォルダに影響を与えることがわかっています。: MicrosoftOfficeテンプレート, 構成ファイル, ユーザードキュメント, ローカル設定, クッキー, インターネット一時ファイル, アプリケーションデータ および関連.
感染プロセス中に、マルウェアは典型的なブラウザハイジャッカーのようなアクションを示します. ウイルスコードは、インストールされているWebブラウザから機密情報を抽出します. 得られたサンプルに応じて、リストには次のアプリケーションが含まれる場合があります: Mozilla Firefox, サファリ, インターネットエクスプローラ, GoogleChromeとMicrosoftEdge. 収集されたデータのタイプには、次のいずれかを含めることができます: 歴史, フォームデータ, ブックマーク, パスワード, アカウントの資格情報, 設定とCookie.
CVE-2017-0199エクスプロイトは、感染エンジンを遅らせることにより、危険なステルス保護機能を開始することが判明しています。. これは、ほとんどのコンピュータウイルスが侵入先のマシンにすぐに侵入し始めるため、アンチウイルスシグネチャチェックを欺く試みです。.
CVE-2017-0199エクスプロイトに含まれるトロイの木馬は ハッカーにデータを報告する 独自のネットワークインフラストラクチャを介して. その他の悪意のあるアクションには、悪意のあるものの作成が含まれます Windowsスタートアップエントリ. これは、コンピュータが起動するたびにトロイの木馬コードが開始されることを意味します. 事実上、これはハッカーがオペレーティングシステムとユーザーファイルの完全な制御を追い越すことができることを意味します.
CVE-2017-0199エクスプロイト攻撃の結果
感染の結果、侵入先のコンピュータには、他のバージョンで変更できるトロイの木馬インスタンスが残ります。. 現在の攻撃キャンペーンでは、問題のマルウェアが取り上げられていることが判明しています。, この機能がエクスプロイトキットとボットネットに統合されることを期待しています. 彼らは、被害者のコンピューターにはるかに深刻な損害を与える可能性のある高度なランサムウェアを配布する可能性があります.
その他の考えられる結果には、次のものがあります:
- ボットネットの募集 ‒感染したコンピュータは、世界中のボットネットネットワークに誘い込まれる可能性があります. これが行われると、被害者のマシンのリソースが、制御するハッカーによって発行された事前定義されたシナリオに従って、マルウェアをターゲットに拡散するために利用されます。.
- 追加のマルウェア感染 ‒侵害されたコンピューターは、ハッカーの指示に従って他の脅威に感染する可能性があります.
- 個人情報の盗難 ‒犯罪者は、取得した情報をマシンから取得した他のファイルと一緒に使用して、経済的虐待や個人情報の盗難などの犯罪を行うことができます。.
- データの盗難 ‒マルウェアの作成者は、トロイの木馬を使用して、ネットワーク接続を介して自分で選択した個人データを盗むことができます。.
ユーザーは、最先端のスパイウェア対策ソリューションを採用することで自分自身を守ることができます. あらゆる種類のコンピュータウイルスおよび関連する脅威から効果的に保護し、マウスをクリックするだけでアクティブな感染を除去できます。.
スパイハンタースキャナーは脅威のみを検出します. 脅威を自動的に削除したい場合, マルウェア対策ツールのフルバージョンを購入する必要があります.SpyHunterマルウェア対策ツールの詳細をご覧ください / SpyHunterをアンインストールする方法
マーティン・ベルトフ
マーティンはソフィア大学で出版の学位を取得して卒業しました. サイバーセキュリティ愛好家として、彼は侵入の最新の脅威とメカニズムについて書くことを楽しんでいます.
フォローしてください: