IPB

Здравствуйте, гость ( Авторизация | Регистрация )


 
Reply to this topicStart new topicGo to the end of the page
> Отключи макросы в Word'е....
hook
сообщение 28.01.2019 - 12:16
Сообщение #1


Уже не экспат
**********

Текущее настроение:

Вст. ник | Цитата

Группа: Легенда
Сообщений: 16554
Регистрация: 14.06.2011
Пользователь №: 46131
Из: Везде

Награды: 34
Подарки: 340

Пол: М


Репутация:   3270  



GandCrab Ransomware и вирус Ursnif распространяются с помощью макросов MS Word



Исследователи в области безопасности обнаружили две вредоносные кампании, одна из которых распространяет троян Ursnif предназначенный для кражи данных и распространяет вымогатель GandCrab, тогда как вторая заражает жертв вредоносным ПО Ursnif.

Хотя обе вредоносные кампании, по-видимому, являются работой двух отдельных групп киберпреступников, мы обнаруживаем в них много общего. Обе атаки начинаются с фишинговых писем, содержащих прикрепленный документ Microsoft Word, в который встроены вредоносные макросы, и затем используют Powershell для доставки вредоносных программ без файлов.
Ursnif — это вредоносное ПО для кражи данных, которое, как правило, крадет конфиденциальную информацию со скомпрометированных компьютеров с возможностью сбора банковских учетных данных, осуществляет сбор нажатий клавиш, информации о системе и процессах и обеспечивает возможность развертывания дополнительных бэкдоров. Обнаруженный ранее в прошлом году, GandCrab представляет собой широко распространенную угрозу вымогателей, которая, как и любая другая программа-вымогатель на рынке, шифрует файлы в зараженной системе и настаивает на том, чтобы жертвы платили выкуп в цифровой валюте, чтобы разблокировать их. Его разработчики запрашивают платежи в основном в DASH, которые сложнее отслеживать.

MS Docs + VBS макросы = инфекция Ursnif и GandCrab

Первая вредоносная кампания, распространяющая две вредоносные угрозы, была обнаружена исследователями безопасности из Carbon Black, которые обнаружили в дикой природе примерно 180 вариантов документов MS Word, предназначенных для пользователей с вредоносными макросами VBS.
В случае успешного выполнения вредоносный макрос VBS запускает сценарий PowerShell, который затем использует ряд методов для загрузки и выполнения Ursnif и GandCrab в целевых системах.



Сценарий PowerShell закодирован в base64, который выполняет следующий этап заражения, который отвечает за загрузку основных вредоносных программ для взлома системы.
Первая полезная нагрузка представляет собой однострочную оболочку PowerShell, которая оценивает архитектуру целевой системы и затем соответственно загружает дополнительную полезную нагрузку с веб-сайта Pastebin, который выполняется в памяти, что затрудняет традиционным антивирусным методам обнаружение действий.
«Этот скрипт PowerShell является версией модуля Empire Invoke-PSInject с очень небольшим количеством модификаций», — говорят исследователи из Carbon Black. «Сценарий использует встроенный PE [Portable Executable] файл, который был закодирован в base64, и вставит его в текущий процесс PowerShell».
Окончательная полезная нагрузка затем устанавливает вариант вымогателя GandCrab в систему жертвы, блокируя ее из своей системы, пока они не заплатят выкуп в цифровой валюте.
В то же время вредоносная программа также загружает исполняемый файл Ursnif с удаленного сервера и после запуска проверяет систему, отслеживает трафик веб-браузера для сбора данных, а затем отправляет его на сервер (C & C) злоумышленников.
Многочисленные варианты Ursnif были размещены на сайте bevendbrec [.] com во время этой кампании. Carbon Black удалось обнаружить приблизительно 120 различных вариантов Ursnif, которые размещались на доменах iscondisth [.] com и bevendbrec [.] com.

MS Docs + VBS макросы = вредоносная программа для кражи данных

Аналогично, вторая вредоносная кампания, обнаруженная исследователями безопасности в Cisco Talos, использует документ Microsoft Word, содержащий вредоносный макрос VBA, для доставки другого варианта того же вредоносного ПО Ursnif.



Эта вредоносная атака также ставит под угрозу целевые системы в несколько этапов, начиная от фишинговых писем и заканчивая вредоносными командами PowerShell, чтобы получить постоянство без файлов, а затем загружая и устанавливая компьютерный вирус Ursnif, крадущий данные.
«Команда [PowerShell] состоит из трех частей. Первая часть создает функцию, которая позже используется для декодирования PowerShell в кодировке base64. Вторая часть создает байтовый массив, содержащий вредоносную DLL», — пояснили исследователи Talos.
«Третья часть выполняет функцию декодирования base64, созданную в первой части, с кодированной строкой base64 в качестве параметра функции. Возвращенная декодированная оболочка PowerShell впоследствии выполняется с помощью сокращенной функции Invoke-Expression (iex)».
После запуска на компьютере жертвы вредоносная программа собирает информацию из системы, помещает ее в формат файла CAB и затем отправляет ее на свой командно-контрольный сервер через защищенное соединение HTTPS.
Исследователи Talos опубликовали в своем блоге список показателей компрометации (IOC), а также имена файлов полезных данных, сброшенных на скомпрометированных машинах, которые могут помочь вам обнаружить и остановить вредоносное ПО Ursnif до того, как оно заразит вашу сеть.


securitylab.ru







--------------------
Не говори что мне делать и я не скажу куда тебе идти.


--------------------
Подарки: (Всего подарков: 340 )
Подарок
Подарил(а): Буська-бяка
Подарок
Подарил(а): Буська-бяка
Подарок
Подарил(а): Буська-бяка




Go to the top of the pageGo to the end of the page
 
+Quote Post
hook
сообщение 28.01.2019 - 20:23
Сообщение #2


Уже не экспат
**********

Текущее настроение:

Вст. ник | Цитата

Группа: Легенда
Сообщений: 16554
Регистрация: 14.06.2011
Пользователь №: 46131
Из: Везде

Награды: 34
Подарки: 340

Пол: М


Репутация:   3270  

Чем опасны?

Макровирусы – это потенциально нежелательные утилиты, написанные на микроязыках, которые встроены в графические и текстовые системы обработки. Какие файлы заражают макро вирусы? Ответ очевиден. Наиболее распространенные версии для программ Microsoft Excel, Word и Office 97. Данные вирусы встречаются достаточно часто, как создать их проще простого. Именно поэтому при скачивании документов из Интернета стоит быть крайне внимательными и аккуратными. Большинство пользователей недооценивают их, совершая тем самым грубейшую ошибку.

Как происходит заражение ПК

После того как мы определились, что такое макровирусы, давайте разберемся каким образом они проникают в систему и заражают компьютер. Простой способ их размножения позволяет в кратчайшие сроки поражать максимальное количество объектов. Благодаря возможностям макроязыков, они при закрытии или открытии зараженного документа проникают в программы, к которым идет обращение. То есть, при использовании графического редактора макровирусы заражают все, что связано с ним. Более того, некоторые активничают все время, пока текстовый или графический редактор работают, или вовсе до полного выключения ПК.

В чем заключается принцип их работы

Их действие происходит по следующему принципу: работая с документами, Microsoft Word выполняет разнообразные команды, отдающиеся на языке макрос. Первым делом программа проникает в главный шаблон, через который открываются все файлы этого формата. При этом вирус копирует свой код в макросы, которые обеспечивают доступ к главным параметрам. Выходя из программы, файл в автоматическом режиме сохраняется в dot (применяется для создания новых документов). После чего он попадает в стандартные макросы, стремясь перехватить отправляемые другим файлам команды, заражая и их.

Заражение осуществляется в следующих случаях:

При наличии авто макроса в вирусе (проводится в автоматическом режиме при выключении или запуске программы).
Вирус обладает основным системным макросом (зачастую связан с пунктами меню).
Активизируется автоматически в случае нажатия на конкретные клавиши или комбинации.
Размножается лишь при его запуске.
Такие вирусы поражают обычно все файлы, созданные и привязанные к программам на макроязыке.


onoutbukax.ru







--------------------
Не говори что мне делать и я не скажу куда тебе идти.


--------------------
Подарки: (Всего подарков: 340 )
Подарок
Подарил(а): Буська-бяка
Подарок
Подарил(а): Буська-бяка
Подарок
Подарил(а): Буська-бяка




Go to the top of the pageGo to the end of the page
 
+Quote Post

Reply to this topicStart new topic
1 чел. читают эту тему (гостей: 1, скрытых пользователей: 0)
Пользователей: 0

 




> Статистика
Board Stats

Подарок форуму

10 евро

100 евро

10000 евро

1000000eur

  


Текстовая версия Сейчас: 30.03.2024 - 4:17