Hackers Bedenk Microsoft Office Infecties via CVE-2017-0199 Exploit
CYBER NEWS

Hackers Bedenk Microsoft Office Infecties via CVE-2017-0199 Exploit

1 Star2 Stars3 Stars4 Stars5 Stars (Nog geen beoordeling)
Loading ...

Microsoft Office CVE-2017-0199 Exploit

Computer hackers proberen nu om computers te infecteren de hele wereld met behulp van een nieuwe methode die de CVE-2017-0199 exploit maakt gebruik van. De aanvallers hebben een nieuwe methode die misbruik van een functie in de nieuwe versies van Microsoft Office bedacht.

Verwante Story: CVE-2017-7269 laat zien waarom Running-ondersteunde software is Slecht

Microsoft Office Feature Misbruikt door CVE-2017-0199 Exploit

Security Analyst in staat geweest om een ​​nieuwe gevaarlijke hacker campagne die een methode van infectie gebruikt detecteren geweest. De deskundigen waren in staat om misbruik van Microsoft Office-bestanden die heeft geleid tot de levering van malware stammen te detecteren. Het unieke van de incidenten is dat ze een nieuwe strategie wordt gebruikt door gebruik te maken van een nieuwe functie die onlangs is geïntegreerd in de Microsoft Office-suite.

De werkelijke exploit wordt beschreven als de volgende:

Microsoft Office 2007 SP3, Microsoft Office 2010 SP2, Microsoft Office 2013 SP1, Microsoft Office 2016, Microsoft Windows Vista SP2, Windows Server 2008 SP2, Windows 7 SP1, Windows 8.1 externe aanvallers willekeurige code via een document bewerkt, aka “Microsoft Office / WordPad uitvoeren van externe code w / Windows API.”

Effectief dit maakt het mogelijk malware in documenten die moeten worden ingebracht door misbruik te maken van de auto-update van embedded links. Dit is een nieuwe functies die nu standaard ingeschakeld voor elke nieuw gemaakte documenten. Als er externe middelen zijn gekoppeld in de bestanden van het betreffende programma (Microsoft Word, Excel en etc.) zal ze automatisch bijgewerkt als er wijzigingen worden aangebracht.

De infectie route volgt een klassiek scenario - de hackers maken besmette documenten met behulp van geautomatiseerde middelen. De bestanden volgen een vooraf gedefinieerd patroon dat kan worden veranderd naar believen. De verzamelde monsters demonstreren dat de documenten dragen de titel “N_Order # xxxxx.docx” waar de “xxxxx” duiden een willekeurig gegenereerd nummer. Toen opende de embedded links leiden naar een ander document (huidige versies insluiten een RTF-bestand) die activeert de CVE 2017-0199 exploiteren. De malware-bestand wordt gehost op een hacker gecontroleerde download server. De RTF-bestand zelf veroorzaakt een Javascript gebaseerde payload die PowerShell gebruikt om een ​​hacker voorzien malware te downloaden. Een soortgelijke aanval werd gemeld via een PowerPoint Open XML Slide Show (ppsx) bestand dat een keylogger Trojan die het mogelijk maakt de hackers om de controle over de geïnfecteerde machines te nemen levert.

Microsoft Office Malware via CVE-2017-0199 Exploit Analyse

De gemaakte monsters in verband met de CVE-2017-0199 exploit zijn geanalyseerd door de security onderzoekers. Gebleken is dat het invloed heeft een groot aantal bestanden en mappen, zoals: Microsoft Office-sjablonen, configuratiebestanden, gebruikersdocumenten, Lokale instellingen, Koekjes, Tijdelijke internetbestanden, Application data en aanverwante.

Tijdens het infectieproces de malware vitrines typische browser kaper-achtige acties. De code van het virus haalt gevoelige informatie van de geïnstalleerde webbrowsers. Afhankelijk van het verkregen monster kan de lijst de volgende toepassingen omvatten: Mozilla Firefox, Safari, Internet Explorer, Google Chrome en Microsoft Edge. Het type geoogste gegevens kan elk van de volgende: geschiedenis, formuliergegevens, bladwijzers, wachtwoorden, Accountgegevens, instellingen en cookies.

De CVE-2017-0199 exploit werd gevonden om een ​​gevaarlijke stealth bescherming functie starten door het uitstellen van de infectie engine. Dit is een poging om de anti-virus handtekeningen controleren bedriegen als de meeste computervirussen begint meteen aan de gecompromitteerde machines infiltreren.

Het Trojaanse paard meegeleverd met de CVE-2017-0199 exploit is gevonden verslag van gegevens naar de hackers via hun eigen netwerk infrastructuur. Andere schadelijke maatregelen omvatten de aanleg van een kwaadaardige Opstarten van Windows binnenkomst. Dit betekent dat de Trojan code wordt gestart elke keer dat de computer wordt opgestart. Effectief betekent dit dat de hackers volledige controle over het besturingssysteem en de gebruikersbestanden inhalen.

Verwante Story: New Infection Method - de muisaanwijzer op een link

Gevolgen van de CVE-2017-0199 Exploit Aanvallen

Als gevolg van de infecties de besmette computers blijven zitten met een Trojan instantie die kan worden aangepast met andere versies. Terwijl de huidige aanval campagnes zijn gevonden om de malware in kwestie zijn voorzien, we verwachten dat deze functie geïntegreerd zien in exploit kits en botnets. Ze kunnen geavanceerde ransomware die veel meer ernstige schade aan het slachtoffer computers kunnen veroorzaken distribueren.

Andere mogelijke gevolgen onder meer de volgende:

  • botnet Recruitment - De geïnfecteerde computers kunnen worden gelokt tot een wereldwijd botnet-netwerk. Wanneer dit wordt de middelen van het slachtoffer machines gedaan worden gebruikt om malware te verspreiden om doelen door het volgen van een vooraf gedefinieerde scenario is afgegeven door de controlerende hackers.
  • Extra Malware Infectie - De geïnfecteerde computers kunnen worden geïnfecteerd met andere bedreigingen zoals voorgeschreven door de hackers.
  • Identiteitsdiefstal - De criminelen kunnen de verkregen informatie te gebruiken in combinatie met andere bestanden opgehaald uit de machines van strafbare feiten, waaronder financieel misbruik en identiteitsdiefstal te voeren.
  • Diefstal van gegevens - De makers van malware kan de Trojan gebruiken om persoonlijke gegevens van hun eigen keuze te stelen via de netwerkverbinding.

Gebruikers kunnen zich beschermen door het gebruik van een state of the art anti-spyware oplossing. Het kan effectief te beschermen tegen alle soorten van computervirussen en aanverwante bedreigingen en verwijderen van actieve infecties met de klik van de muis.

Download

Malware Removal Tool


Spy Hunter scanner zal alleen de bedreiging op te sporen. Als u wilt dat de bedreiging voor automatisch verwijderd, je nodig hebt om de volledige versie van de anti-malware gereedschap kopen.Ontdek meer over SpyHunter Anti-Malware Tool / Hoe te verwijderen SpyHunter

avatar

Martin Beltov

Martin studeerde af met een graad in de uitgeverij van de universiteit van Sofia. Als een cyber security enthousiast dat hij geniet van het schrijven over de nieuwste bedreigingen en de mechanismen van inbraak.

Meer berichten - Website

Volg mij:
TjilpenGoogle Plus

Laat een bericht achter

Uw e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd *

Termijn is uitgeput. Laad CAPTCHA.

Delen op Facebook Aandeel
Loading ...
Delen op Twitter Gekwetter
Loading ...
Delen op Google Plus Aandeel
Loading ...
Delen op Linkedin Aandeel
Loading ...
Delen op Digg Aandeel
Deel op Reddit Aandeel
Loading ...
Delen op StumbleUpon Aandeel
Loading ...