Лаборатория FortiGuard Labs обнаружила в дикой природе опасный документ Excel, содержащий встроенный файл с произвольным именем. После детального анализа эксперты выяснили, что злоумышленники используют известную уязвимость CVE-2017-11882 для выполнения вредоносного кода и заражения устройств жертв. Эта уязвимость, связанная с ошибкой в компоненте Microsoft Office Equation Editor, позволяет злоумышленникам запускать произвольные команды на компьютере пользователя без его ведома.
Описание
Вредоносный документ Excel маскируется под легитимный файл, что повышает вероятность его открытия жертвой. Как только пользователь запускает файл, активируется механизм эксплуатации уязвимости CVE-2017-11882. Эта уязвимость, впервые обнаруженная в 2017 году, до сих пор остается актуальной из-за того, что многие пользователи не обновляют программное обеспечение своевременно. Эксплуатация уязвимости позволяет злоумышленникам выполнить произвольный код, что открывает путь для загрузки и запуска дополнительных вредоносных модулей.
После успешного заражения система жертвы может быть использована для различных злонамеренных действий. В зависимости от конфигурации вредоносного ПО, злоумышленники могут похищать конфиденциальные данные, внедрять шпионские программы, устанавливать бэкдоры для удаленного доступа или даже подключать устройство к ботнету. Одним из возможных сценариев является загрузка банковских троянов, таких как Emotet или TrickBot, которые способны красть учетные данные, отслеживать ввод с клавиатуры и перехватывать финансовую информацию.
FortiGuard Labs также отмечает, что подобные атаки часто сопровождаются социальной инженерией. Злоумышленники рассылают вредоносные документы через фишинговые письма, маскируя их под важные финансовые отчеты, счета или деловые предложения. Это увеличивает вероятность того, что пользователь откроет файл, не подозревая об угрозе.
Для защиты от подобных атак эксперты рекомендуют соблюдать базовые правила кибербезопасности: регулярно обновлять операционную систему и офисные приложения, использовать антивирусные решения с актуальными сигнатурами, а также проявлять осторожность при открытии вложений из непроверенных источников. Кроме того, корпоративным пользователям следует внедрять системы мониторинга и защиты конечных точек (EDR), которые позволяют выявлять и блокировать подозрительную активность на ранних стадиях.
Обнаруженный инцидент еще раз подчеркивает, что даже старые уязвимости могут представлять серьезную угрозу, если их вовремя не исправлять. Киберпреступники активно ищут уязвимые системы, а отсутствие обновлений делает их легкой мишенью. Пользователям и компаниям необходимо осознавать риски и принимать меры для минимизации последствий возможных атак.
В ближайшее время FortiGuard Labs продолжит мониторинг подобных угроз и будет публиковать дополнительные рекомендации по защите. Владельцам уязвимых версий Microsoft Office настоятельно рекомендуется установить последние обновления безопасности, чтобы предотвратить эксплуатацию CVE-2017-11882 и других известных уязвимостей.
Индикаторы компрометации
Domains
- 234sportsagency.com
- 453wow.com
- advidd.com
- affnewyork888s.com
- andreas-setiarama.com
- ariedejongtv.com
- aroma4pets.com
- asdmohs18.website
- bedmate-ventricose.net
- belicosocigars.com
- bloombyz.store
- brandmarkenterprises.com
- bryar.top
- cambriacr.com
- cassavaproject.com
- colaye.us
- creativacr.com
- deniz2fotograf.online
- devopstp.com
- edenq.com
- emjghq.com
- enerplus.uk
- ere46.site
- excel-facile.online
- fairblare.sbs
- fineclocksandsoaps.com
- fullstackchannel.net
- getyourhostingnow.com
- heliconiaparadise.site
- helpagencia.online
- hyriver.com
- iserghini.com
- iwantcreativity.com
- jinchuansh.com
- mistergreekmeat.com
- newssmart.xyz
- nxmdta.quest
- one-poker.com
- playersclub.site
- rekapllc.store
- rennentedieeinzige.uk
- russellbanx.com
- ry-cw.com
- singhdeepak.space
- slanguage.online
- smartprotectproducts.store
- sparkmediaagency.xyz
- techwithnova.com
- tenaciouslee.com
- thebestconsultants.com
- theclientserver.xyz
- thecreakykettle.net
- toniotheharrison.net
- topdeckholidays.com
- trophies3d.co.uk
- uaepilator.store
- universerealtor.website
- valeloaiza.com
- viproom108.com
- waraporn.net
- wevlong.xyz
- xishangtao.com
- yennft.com
- yysshh.top
URLs
- http://lutanedukasi.co.id/wp-includes/Cikncbxlojqanjsfotzhopechujkgkeeyz.exe
- http://lutanedukasi.co.id/wp-includes/lsbjqoyofgkmqbuleooykdekgopmtglvjl.exe
- https://cdn.discordapp.com/attachments/937614907917078588/1009001073970794576/Lsbjqoyofgkmqbuleooykdekgopmtglr
SHA256
- c7b7cc6b73b04e2cd7d026a69d47139770ace5a92457da0f0c058ee438251b18
- d1ea94c241e00e8e59a7212f30a9117393f9e883d2b509e566505bc337c473e3