Найден способ обхода антивирусов

Эксперты Cisco Talos обнаружили новую кампанию по распространению нескольких вредоносных программ, таких как Agent Tesla, Loki и Gamarue. Которые способны извлекать информацию из, например, браузеров и электронной почты.

Отличительной чертой является эксплуатация известных уязвимостей в Microsoft Word (CVE-2017-0199 и CVE-2017-11882), они позволяют выполнить заражение системы не привлекая внимание антивирусных программ.

Для инфицирования системы жертвы, злоумышленники рассылают вредоносный документ MS Word содержащий RTF файл, который в свою очередь и выполняет загрузку вирусного модуля. Проведению атаки способствует особенность формата RTF у которого есть поддержка встраивания объектов с помощью технологии Object Linking and Embedding (OLE). При построении документа парсеры RTF игнорируют неизвестное содержимое, позволяя скрыть внутри документа эксплоит. При этом со стороны пользователя не требуется выполнять каких-либо действий по изменению настроек документа.

Кроме прочего, для сокрытия вредоносного документа от обнаружения злоумышленники меняют значения заголовка OLE-объекта, добавляя данные, которые выглядят как тег , но на деле являются эксплоитом для уязвимости CVE-2017-11882 в Microsoft Office.

По словам специалистов, только 2 из 58 антивирусов сочли файл подозрительным, при этом они всего лишь предупреждали, что документ неправильно отформатирован.