Hackeri používajú staré zraniteľnosti balíka Microsoft Office na distribúciu FELIXROOT a kradnutie súborov

Domov » Microsoft

Ikona času čítania 2 min. čítať

Ikona kalendára Aktualizované na

by Anmol Mehrotra 

aktualizované dňa

Zdieľajte tento článok

Čítačky pomáhajú podporovať MSpoweruser. Ak nakupujete prostredníctvom našich odkazov, môžeme získať províziu. Ikona popisu

Prečítajte si našu informačnú stránku a zistite, ako môžete pomôcť MSPoweruser udržať redakčný tím Čítaj viac

Objavil sa nový malvér, ktorý na prístup k údajom a ich odcudzenie využíva staré zraniteľné miesta balíka Microsft Office. Malvér s názvom Felixroot je doručený jednotlivcom na Ukrajine pomocou phishingového e-mailu, ktorý tvrdí, že obsahuje informácie zo seminára o ochrane životného prostredia.

Zadné vrátka boli objavené už v roku 2017, ale na niekoľko mesiacov sa odmlčali. Nový exploit identifikovali výskumníci z FireEye, ktorí sa pripojili k starému malvéru používanému na Ukrajine minulý rok. Malvér využíva dve zraniteľnosti balíka Microsoft Office, a to: CVE-2017 0199, a CVE-2017 11882,. Škodlivý softvér je distribuovaný pomocou súboru s názvom „Seminar.rtf“.

Keď je súbor vložený, uloží vložený binárny súbor do %temp%, ktorý sa používa na spustenie kvapkadla FELIXROOT. Dropper potom vytvorí dva súbory, súbor LNK, ktorý ukazuje na %system32%\rundll32.exe, a komponent zavádzača FELIXROOT. Súbor LNK potom spustí komponent loader FELIXROOT a komponent backdoor, ktorý je úplne zašifrovaný pomocou vlastného šifrovania, ktoré používa XOR so 4-bajtovým kľúčom. Po nainštalovaní do pamäte bude 10 minút spať, kým vyhľadá príkaz na spustenie a pripojí sa k serveru C&C, na ktorý sa tajne odosielajú ukradnuté údaje. Podľa FireEye, malvér používa rozhranie Windows API na získanie názvu počítača, používateľského mena, sériového čísla zväzku, verzie systému Windows, architektúry procesora a dvoch ďalších hodnôt.

Po odcudzení údajov FELIXROOT zastaví popravu a vymaže digitálnu stopu z počítača obete. Malvér je navrhnutý tak, aby sa zabezpečilo, že ho nikto nemôže vystopovať späť k skupine, ktorá za ním stojí. FireEye povedal, že na malvéri stále pracujú a keďže ide o prebiehajúce vyšetrovanie, FireEye zatiaľ neodhalil žiadne podrobnosti.

Dobrou správou však je, že spoločnosť Microsoft minulý rok vydala opravy, takže najlepším spôsobom ochrany údajov je udržiavať všetko aktuálne. Bohužiaľ, organizácie zvyčajne neaplikujú záplaty včas, čo umožňuje malvéru fungovať a dokonca sa šíriť. Microsoft už niekoľkokrát varoval každého pred nebezpečenstvom neudržiavania všetkého aktualizovaného. To znamená, že len veľmi málo ľudí si skutočne sťahuje a inštaluje aktualizácie zabezpečenia včas a spoločnosti zvyčajne meškajú s aplikáciou opráv, čo vedie k hackerským útokom alebo útokom škodlivého softvéru.

cez: GB Hackeri

Viac o témach: využiť, microsoft, kancelária, zabezpečenia, slovo

Anmol Mehrotra

Anmol Mehrotra Shield

Android a Windows News Reporter

Anmol pokrýva novinky pre Android a Windows. Je to technický spisovateľ s viac ako desaťročnými skúsenosťami.