Отключи макросы в Word'е.... |
Здравствуйте, гость ( Авторизация | Регистрация )
Отключи макросы в Word'е.... |
28.01.2019 - 12:16
Сообщение
#1
|
|
Уже не экспат Текущее настроение: Вст. ник | Цитата Группа: Легенда Сообщений: 16554 Регистрация: 14.06.2011 Пользователь №: 46131 Из: Везде Награды: 34 Подарки: 340 Пол: М Репутация: 3270 |
GandCrab Ransomware и вирус Ursnif распространяются с помощью макросов MS Word Исследователи в области безопасности обнаружили две вредоносные кампании, одна из которых распространяет троян Ursnif предназначенный для кражи данных и распространяет вымогатель GandCrab, тогда как вторая заражает жертв вредоносным ПО Ursnif. Хотя обе вредоносные кампании, по-видимому, являются работой двух отдельных групп киберпреступников, мы обнаруживаем в них много общего. Обе атаки начинаются с фишинговых писем, содержащих прикрепленный документ Microsoft Word, в который встроены вредоносные макросы, и затем используют Powershell для доставки вредоносных программ без файлов. Ursnif — это вредоносное ПО для кражи данных, которое, как правило, крадет конфиденциальную информацию со скомпрометированных компьютеров с возможностью сбора банковских учетных данных, осуществляет сбор нажатий клавиш, информации о системе и процессах и обеспечивает возможность развертывания дополнительных бэкдоров. Обнаруженный ранее в прошлом году, GandCrab представляет собой широко распространенную угрозу вымогателей, которая, как и любая другая программа-вымогатель на рынке, шифрует файлы в зараженной системе и настаивает на том, чтобы жертвы платили выкуп в цифровой валюте, чтобы разблокировать их. Его разработчики запрашивают платежи в основном в DASH, которые сложнее отслеживать. MS Docs + VBS макросы = инфекция Ursnif и GandCrab Первая вредоносная кампания, распространяющая две вредоносные угрозы, была обнаружена исследователями безопасности из Carbon Black, которые обнаружили в дикой природе примерно 180 вариантов документов MS Word, предназначенных для пользователей с вредоносными макросами VBS. В случае успешного выполнения вредоносный макрос VBS запускает сценарий PowerShell, который затем использует ряд методов для загрузки и выполнения Ursnif и GandCrab в целевых системах. Сценарий PowerShell закодирован в base64, который выполняет следующий этап заражения, который отвечает за загрузку основных вредоносных программ для взлома системы. Первая полезная нагрузка представляет собой однострочную оболочку PowerShell, которая оценивает архитектуру целевой системы и затем соответственно загружает дополнительную полезную нагрузку с веб-сайта Pastebin, который выполняется в памяти, что затрудняет традиционным антивирусным методам обнаружение действий. «Этот скрипт PowerShell является версией модуля Empire Invoke-PSInject с очень небольшим количеством модификаций», — говорят исследователи из Carbon Black. «Сценарий использует встроенный PE [Portable Executable] файл, который был закодирован в base64, и вставит его в текущий процесс PowerShell». Окончательная полезная нагрузка затем устанавливает вариант вымогателя GandCrab в систему жертвы, блокируя ее из своей системы, пока они не заплатят выкуп в цифровой валюте. В то же время вредоносная программа также загружает исполняемый файл Ursnif с удаленного сервера и после запуска проверяет систему, отслеживает трафик веб-браузера для сбора данных, а затем отправляет его на сервер (C & C) злоумышленников. Многочисленные варианты Ursnif были размещены на сайте bevendbrec [.] com во время этой кампании. Carbon Black удалось обнаружить приблизительно 120 различных вариантов Ursnif, которые размещались на доменах iscondisth [.] com и bevendbrec [.] com. MS Docs + VBS макросы = вредоносная программа для кражи данных Аналогично, вторая вредоносная кампания, обнаруженная исследователями безопасности в Cisco Talos, использует документ Microsoft Word, содержащий вредоносный макрос VBA, для доставки другого варианта того же вредоносного ПО Ursnif. Эта вредоносная атака также ставит под угрозу целевые системы в несколько этапов, начиная от фишинговых писем и заканчивая вредоносными командами PowerShell, чтобы получить постоянство без файлов, а затем загружая и устанавливая компьютерный вирус Ursnif, крадущий данные. «Команда [PowerShell] состоит из трех частей. Первая часть создает функцию, которая позже используется для декодирования PowerShell в кодировке base64. Вторая часть создает байтовый массив, содержащий вредоносную DLL», — пояснили исследователи Talos. «Третья часть выполняет функцию декодирования base64, созданную в первой части, с кодированной строкой base64 в качестве параметра функции. Возвращенная декодированная оболочка PowerShell впоследствии выполняется с помощью сокращенной функции Invoke-Expression (iex)». После запуска на компьютере жертвы вредоносная программа собирает информацию из системы, помещает ее в формат файла CAB и затем отправляет ее на свой командно-контрольный сервер через защищенное соединение HTTPS. Исследователи Talos опубликовали в своем блоге список показателей компрометации (IOC), а также имена файлов полезных данных, сброшенных на скомпрометированных машинах, которые могут помочь вам обнаружить и остановить вредоносное ПО Ursnif до того, как оно заразит вашу сеть. securitylab.ru -------------------- Не говори что мне делать и я не скажу куда тебе идти.
-------------------- Подарки: (Всего подарков: 340 ) |
|
|
|
|
|
28.01.2019 - 20:23
Сообщение
#2
|
|
Уже не экспат Текущее настроение: Вст. ник | Цитата Группа: Легенда Сообщений: 16554 Регистрация: 14.06.2011 Пользователь №: 46131 Из: Везде Награды: 34 Подарки: 340 Пол: М Репутация: 3270 |
Чем опасны?
Макровирусы – это потенциально нежелательные утилиты, написанные на микроязыках, которые встроены в графические и текстовые системы обработки. Какие файлы заражают макро вирусы? Ответ очевиден. Наиболее распространенные версии для программ Microsoft Excel, Word и Office 97. Данные вирусы встречаются достаточно часто, как создать их проще простого. Именно поэтому при скачивании документов из Интернета стоит быть крайне внимательными и аккуратными. Большинство пользователей недооценивают их, совершая тем самым грубейшую ошибку. Как происходит заражение ПК После того как мы определились, что такое макровирусы, давайте разберемся каким образом они проникают в систему и заражают компьютер. Простой способ их размножения позволяет в кратчайшие сроки поражать максимальное количество объектов. Благодаря возможностям макроязыков, они при закрытии или открытии зараженного документа проникают в программы, к которым идет обращение. То есть, при использовании графического редактора макровирусы заражают все, что связано с ним. Более того, некоторые активничают все время, пока текстовый или графический редактор работают, или вовсе до полного выключения ПК. В чем заключается принцип их работы Их действие происходит по следующему принципу: работая с документами, Microsoft Word выполняет разнообразные команды, отдающиеся на языке макрос. Первым делом программа проникает в главный шаблон, через который открываются все файлы этого формата. При этом вирус копирует свой код в макросы, которые обеспечивают доступ к главным параметрам. Выходя из программы, файл в автоматическом режиме сохраняется в dot (применяется для создания новых документов). После чего он попадает в стандартные макросы, стремясь перехватить отправляемые другим файлам команды, заражая и их. Заражение осуществляется в следующих случаях: При наличии авто макроса в вирусе (проводится в автоматическом режиме при выключении или запуске программы). Вирус обладает основным системным макросом (зачастую связан с пунктами меню). Активизируется автоматически в случае нажатия на конкретные клавиши или комбинации. Размножается лишь при его запуске. Такие вирусы поражают обычно все файлы, созданные и привязанные к программам на макроязыке. onoutbukax.ru -------------------- Не говори что мне делать и я не скажу куда тебе идти.
-------------------- Подарки: (Всего подарков: 340 ) |
|
|
|
|
Текстовая версия | Сейчас: 30.03.2024 - 4:17 |