Utilizatorii Windows vizați cu documente Excel malițioase
Sursă: https://cybersecuritynews.com
Persoanele rău intenționate folosesc documentele Excel în atacuri, în primul rând din cauza utilizării lor pe scară largă și a vulnerabilităților inerente ale software-ului.
Întrucât Microsoft blochează în mod implicit macro-urile VBA, atacatorii au trecut la exploatarea fișierelor .XLL ca mijloc de transmitere a programelor malware.
Specialiștii Fortinet au identificat recent că persoanele rău intenționate au atacat activ utilizatorii Windows cu documente Excel cu scopul de a lansa Remcos RAT.
Laboratoarele FortiGuard au descoperit unul dintre atacurile complexe de phishing atunci când au primit un e-mail cu un fișier Excel malițios mascat ca fișier de comandă.
Dacă este deschis, acel document exploatează vulnerabilitatea Microsoft Office Remote Code Execution urmărită ca CVE-2017-0199, care inițiază descărcarea unui fișier HTA (aplicație HTML) cu un URL scurt hxxps://og1[. ]in/2Rxzb3 care duce la redirecționarea către link hxxp://192[.]3[.]220[.]22/xampp/en/cookienetbookinetcahce.hta.
Mshta.exe care este o aplicație Windows care execută fișiere HTA prin componente DCOM, utilizează JavaScript, VBScript, codificarea Base64, codificare URL și scripturi Power Shell pentru a ascunde informațiile sub mai multe straturi de ofuscare.
Payload-ul final include Remcos, un RAT comercializat online în mod legitim cu capacități avansate de control de la distanță și care este abuzat de către persoane rău intenționate pentru a colecta informații sensibile și a controla sistemele utilizatorilor.
Raportul arată că malware-ul obține persistență prin copierea dllhost.exe în %temp% ca Vaccinerende.exe, ascunzând procesul PowerShell în fundal, încărcând cod malițios din Valvulate.Cru și implementându-l în memorie prin intermediul API-urile VirtualAlloc() și CallWindowProcA(). În cele din urmă, malware-ul stabilește controlul complet de la distanță asupra sistemului compromis.
Programul malware utilizează un lanț de atacuri în mai multe etape care începe cu exploatarea PowerShell.
Sursă: https://cybersecuritynews.com/hackers-windows-users-weaponized-excel/
