CERTMIL

Centrul de Răspuns la Incidente de Securitate Cibernetică

Utilizatorii Windows vizați cu documente Excel malițioase

12 noiembrie 2024

Sursă: https://cybersecuritynews.com

Persoanele rău intenționate folosesc documentele Excel în atacuri, în primul rând din cauza utilizării lor pe scară largă și a vulnerabilităților inerente ale software-ului.

Întrucât Microsoft blochează în mod implicit macro-urile VBA, atacatorii au trecut la exploatarea fișierelor .XLL ca mijloc de transmitere a programelor malware.

Specialiștii Fortinet au identificat recent că persoanele rău intenționate au atacat activ utilizatorii Windows cu documente Excel cu scopul de a lansa Remcos RAT.

Laboratoarele FortiGuard au descoperit unul dintre atacurile complexe de phishing atunci când au primit un e-mail cu un fișier Excel malițios mascat ca fișier de comandă.

Dacă este deschis, acel document exploatează vulnerabilitatea Microsoft Office Remote Code Execution urmărită ca CVE-2017-0199, care inițiază descărcarea unui fișier HTA (aplicație HTML) cu un URL scurt hxxps://og1[. ]in/2Rxzb3 care duce la redirecționarea către link hxxp://192[.]3[.]220[.]22/xampp/en/cookienetbookinetcahce.hta.

Mshta.exe care este o aplicație Windows care execută fișiere HTA prin componente DCOM, utilizează JavaScript, VBScript, codificarea Base64, codificare URL și scripturi Power Shell pentru a ascunde informațiile sub mai multe straturi de ofuscare.

Payload-ul final include Remcos, un RAT comercializat online în mod legitim cu capacități avansate de control de la distanță și care este abuzat de către persoane rău intenționate pentru a colecta informații sensibile și a controla sistemele utilizatorilor.

Raportul arată că malware-ul obține persistență prin copierea dllhost.exe în %temp% ca Vaccinerende.exe, ascunzând procesul PowerShell în fundal, încărcând cod malițios din Valvulate.Cru și implementându-l în memorie prin intermediul API-urile VirtualAlloc() și CallWindowProcA(). În cele din urmă, malware-ul stabilește controlul complet de la distanță asupra sistemului compromis.

Programul malware utilizează un lanț de atacuri în mai multe etape care începe cu exploatarea PowerShell.

Sursă: https://cybersecuritynews.com/hackers-windows-users-weaponized-excel/

Ai mai putea citi

Firefox 148 lansat cu API Sanitizer pentru a dezactiva atacurile XSS

27 februarie 2026

Vulnerabilitate critică identificată în Juniper Networks PTX

27 februarie 2026

Trend Micro avertizează asupra unor vulnerabilități în Apex One

27 februarie 2026

PoC lansat pentru o vulnerabilitate din Windows

26 februarie 2026
© Ministerul Apărării Naţionale | Site realizat de Agenția de Apărare Cibernetică |