Блоги Блоги 13.06.2017 в 14:54 comment

Эксперты по кибербезопасности обнаружили новый тип вирусов, загружающихся на компьютер «без единого щелчка мыши»

author avatar
https://secure.gravatar.com/avatar/341ba260d57a6855744e3c0760decc30?s=96&r=g&d=https://itc.ua/wp-content/uploads/2023/06/no-avatar.png *** https://secure.gravatar.com/avatar/341ba260d57a6855744e3c0760decc30?s=96&r=g&d=https://itc.ua/wp-content/uploads/2023/06/no-avatar.png *** https://itc.ua/wp-content/themes/ITC_6.0/images/no-avatar.svg

Кирилл Иртлач

«Никогда не нажимайте на ссылки, которые выглядят подозрительно», — испокон веков заблаговременно предупреждали нас различные эксперты по кибербезопасности. Тем не менее, отныне и это уже не является гарантией того, что ваш ПК будет защищен от загрузки вредоносного ПО.

Как сообщают исследователи из Trend Micro и Dodge This Security, киберпреступники «изобрели» новый тип вредоносных загрузчиков, активация которых происходит «без единого клика». Для начала загрузки «трояна» достаточно просто навести курсор мыши на ссылку в файле PowerPoint, прикрепленному к электронному письму.

https://s.aolcdn.com/hss/storage/midas/cb4d93a4905500a6e4fdaa2847e1ae8d/205363154/powerpoint-downloader02.jpg

По имеющейся у специалистов информации, хакеры распространили новый тип «малваря» в ходе недавней СПАМ-атаки, направленной на европейские, ближневосточные и африканские организации.

Любопытно, что содержание письма, как правило, было связано с финансовыми операциями, а его темы значились как «Счет-фактура» либо «Заказ №». При этом к СПАМ-письму всегда прикреплялась одна и та же «презентация».

Эта «презентация» состояла из одной-единственной гиперссылки с текстом «Loading… please wait» («Идет загрузка… пожалуйста, подождите»). Как вы наверняка уже догадались, в гиперссылке и был запрятан вредоносный скрипт, а именно скрипт для PowerShell. Как только пользователь в ожидании «загрузки» наводил курсор мыши на ссылку, скрипт тут же активировался.

Курс Project Manager від Powercode academy.
Онлайн-курс Project Manager. З нуля за 3,5 місяці до нової позиції Без знання коду, англійської та стресу.
Зарееструватися

Впрочем, стоит уточнить, что если у пользователя была установлена последняя версия Microsoft Office, то PowerPoint запрещала выполнение скрипта. Дело в том, что в современных версиях программы реализована функция Protected View («Безопасный просмотр»), которая, как только скрипт начинал выполнять сценарий, обнаруживала «потенциальную проблему безопасности» и нажатием кнопки «Отменить» позволяла его прервать

https://s.aolcdn.com/hss/storage/midas/1530e0c39e52788a796980e61b13f057/205363172/powerpoint-downloader01.jpg

В то же время, старые версии программы лишены дополнительного уровня защиты. Таким образом, вредоносный загрузчик беспрепятственно загружал троянский вирус, который, как установили эксперты, был направлен на сбор учетных данных пользователя, включая информацию о его банковском счете.

Напоследок отметим, что пик загрузок новоиспеченного трояна пришелся на 25 мая — в тот день Trend Micro зафиксировали 1444 зараженных компьютера, а 29 мая атака сошла на «нет». Тем не менее, эксперты не советуют расслабляться, поскольку вполне возможно, что это был лишь «тестовый прогон», после которого хакеры возьмутся за распространение в разы более опасного вредоносного ПО.

Источник: Engadget


Loading comments...

Сообщить об опечатке

Текст, который будет отправлен нашим редакторам:

Отправить