Эксперты Trustwave SpiderLabs сообщают, что киберпреступники разработали новую технику атаки компьютеров. Хотя она предполагает открытие пользователем документа Word, текстовый редактор не потребует у жертвы разрешения на выполнение макросов.
Как утверждают специалисты, сейчас хакеры активно применяют эту новую технику для того, чтобы заражать системы вредоносной программой, которая похищает пароли. Пока что эксперты выявили признаки использования нового метода лишь одной кибергруппировкой, но в ближайшее время другие хакеры также могут начать применять его.
Атака «без макросов» состоит из нескольких этапов. Сначала на имя пользователя приходит электронное письмо с прикрепленным docx-файлом, который содержит объект OLE. После загрузки и открытия файла пользователем объект OLE подгружает и запускает rtf-файл, который замаскирован под формат doc. Он использует уязвимость в Office Equation Editor, и код эксплоита осуществляет запуск командной строки MSHTA. Затем командная строка загружает и запускает hta-файл со скриптом VBScript, который осуществляет распаковку скрипта PowerShell. Последний производит загрузку и установку вредоносной программы для кражи паролей. Вредоносная программа собирает пароли из браузеров, электронной почтовых ящиков и FTP-клиентов и передает их на сервер, принадлежащий злоумышленникам.
Уязвимость в Equation Editor, используемая в рамках атаки, была устранена Microsoft в январе этого года. Чтобы обезопасить себя, эксперты советуют установить патч, устраняющий уязвимость.
