Контакты
Подписка 2024
Персональные данные
4 апреля. Персональные данные в 2024 году: регулирование, практика, тенденции
Регистрируйтесь на онлайн-конференцию!

ActiveX используется для загрузки на Windows 10 дроппера трояна TrickBot

02/03/20

hack58-5Киберпреступники используют фреймворк ActiveX в документах Microsoft Word для автоматического выполнения на Windows 10 загрузчика вредоносного ПО Ostap, который недавно стал использоваться банковским трояном TrickBot.

Исследователи безопасности обнаружили десятки файлов, загружающих на атакуемые системы вредоносное ПО первого этапа, что может свидетельствовать о масштабной вредоносной кампании.

По данным специалистов компании Bromium, Ostap попадает на атакуемую систему через документы Microsoft Word, содержащие вредоносные макросы и изображение, предположительно с зашифрованным контентом. Сами же документы жертве приходят по электронной почте в фишинговых письмах, замаскированных под уведомление о пропущенном платеже. Во вложении к письму содержится поддельная накладная.

Изучив вредоносные документы, исследователи безопасности компании Morphisec обнаружили фреймворк ActiveX, скрытый за встроенным изображением. Как показал более детальный анализ, злоумышленники используют класс MsRdpClient10NotSafeForScripting, предназначенный для удаленного управления. Управление ActiveX может добавляться в текст или рисунок в документах Microsoft Word с целью сделать их интерактивными.

Как сообщают в Morphisec, JavaScript-код для Ostap скрыт в шрифте документа такого же цвета, что и фон, поэтому не виден для невооруженного глаза.

Темы:ПреступлениятрояныWindows 10Bromium
NGFW
9 апреля. Отечественные NGFW: как защитить облачную инфраструктуру и настроить обнаружение кибератак
Участвуйте и представляйте решения!

Хотите сотрудничать?

Выберите вариант!

Печатное издание
Интернет-портал
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...