Через 0-day уязвимость в Microsoft Office распространяется банкер Dridex

Ранее на этой неделе специалисты компаний McAfee и FireEye предупредили, что еще в январе 2017 года хакеры взяли на вооружение новую 0-day уязвимость в Microsoft Office. Злоумышленники распространяют спам, содержащий вредоносные документы Microsoft Word, и обманом заставляют жертву открыть опасное вложение. Внутри документа скрывается объект OLE2link. Стоит отметить, что атака никак не связана с макросами, так что их отключение никак не поможет пользователю.

В результате атаки с удаленного сервера злоумышленников загружается файл HTA, который запускает работу вредоносного скрипта Visual Basic, и устройство жертвы оказывается заражено малварью. Исследователи McAfee и FireEye не сообщали, какая именно угроза распространяется таким образом, об этом сегодня рассказали специалисты Proofpoint.

По данным аналитиков Proofpoint, свежую 0-day уязвимость эксплуатируют для распространения банковского трояна Dridex, и пока от атак преимущественно страдают австралийские пользователи.

Большинство вредоносных писем строятся на похожих шаблонах. Так, в строке адреса чаще всего можно увидеть конструкцию вида <[ХХХ]@[домен получателя]>, где [XXX] обычно заменяется на copier, documents, noreply, no-reply или scanner. Темой всех писем указана Scan Data, тогда как вредоносные документы именуются по принципу Scan_xxxx.doc или Scan_xxxx.pdf. Исследователи связывают данные атаки с одним из многих Dridex-ботнетов, известным как ID 7500.