Как сообщают эксперты FireEye, хакеры пользуются тремя уязвимостями в Microsoft Office в рамках спам-кампаний против телекоммуникационных операторов, страховых фирм и финансовых учреждений.
В ходе кибератак они занимаются распространением вредоносной программы Zyklon, которая осуществляет запись нажатия клавиш, сбор паролей, загрузку и установку дополнительных плагинов, предназначенных для кражи паролей и майнинга криптовалют.
Упомянутые уязвимости присутствуют в .NET Framework, а также в редакторе формул Microsoft Equation и функционале Dynamic Data Exchange (DDE). Две уязвимости были устранены в сентябре и ноябре прошлого года. Несмотря на то, что в Microsoft не считают Dynamic Data Exchange уязвимостью и настаивают, что это функционал, в конце 2017 года произошел релиз обновления для Microsoft Office, в рамках которого DDE был отключен в Word, чтобы предотвратить возможные кибератаки.
Кроме скачивания дополнительных плагинов, Zyklon может проводить DDoS-атаки и похищать пароли из браузеров и электронных почтовых сервисов. Вредоносная программа пользуется сетью Tor для того, чтобы скрывать коммуникации с командным сервером. По словам экспертов, в Zyklon есть зашифрованный файл, имеющий название tor. После того, как программа проводит расшифровку данного файла, он добавляется в InstallUtiil.exe и функционирует как анонимайзер Tor.
