• О проекте
  • Услуги
  • Заказать услугу
  • Новости
  • Блог
  • Глоссарий
  • Контакты
  • Новости

    Из-за брешей в MS Office распространяется вредонос Zyklon

    HTTP-вредонос Zyklon расходится по планете благодаря трём уязвимостям в продуктах Microsoft Office. Среди основных целей вредоносной кампании выделяют финансовые, страховые и телекоммуникационные предприятия.

    Эксперты из FireEye первыми забили тревогу и опубликовали данные о новом зловреде и брешах в Micsoroft Office. По мнению специалистов, создатели Zyklon рассчитывают получить пароли и информацию о криптокошельках жертв. Кроме того, зловред дает возможность расширить ботнет целевыми системами, что поможет проводить будущие DDOS-атаки.

    Zyklon начал распространяться со спам-рассылки: внутри письма можно было обнаружить архив zip, с запакованным внутри .doc файлом. Документ Microsoft Word содержит в себе одну из 3 брешей в MS Office.

    Из-за брешей в MS Office распространяется вредонос Zyklon

    Первая брешь представлена в функциональности DDE (Dynamic Data Exchange). Речь идет о протоколе, который описывает принципы обмена информации через общую память и отправки сообщений приложениями. Хакеры за последний год успешно разослали тысячи вредоносных макросов, которые используют особенности DDE. Представители Microsoft утверждают, что функция работает так, как ожидается. Вместе с тем, в ноябре минувшего года разработчики опубликовали инструкцию, которая позволяет осуществить отключение протокола.

    Что касается второй бреши, то она существует более 17 лет. Разработчикам удалось закрыть уязвимость патчем, который вышел в ноябре минувшего года. Суть атаки: жертва получает специальным образом созданный .doc файл, в котором содержится специальный объект, загружающий дополнительный файл с расширением doc. Помимо второго файла, в автоматическом порядке запускается команда PowerShell, благодаря которой загружается необходимый хакеру payload.

    Брешь в .NET Framework (Microsoft выпустил патч для данной уязвимости в октябре 2017-го) работает по схожей схеме, что и предыдущая уязвимость. Открыв зараженный файл, жертва предоставляет хакеру возможность создавать новые учетные записи, а также манипулировать данными.

    После череды загрузок различных звеньев payload на компьютер жертвы попадает вредонос Zyklon. Данный бэкдор способен находить пароли, загружать и запускать различные плагины, проводить DDoS атаки, обновляться и уничтожаться без чьей-либо помощи.

    Как видим, вредонос использует бреши, которые были закрыты патчами, выпущенными еще осенью. Малварь Zyklon наглядно показывает, как важно следить за выпуском новых патчей и своевременно устанавливать обновление ПО.