Метод эксплуатирует особенности формата RT.
Эксперты команды Cisco Talos заметили новую кампанию по распространению ряда вредоносных программ, в том числе инфостилеров Agent Tesla, Loki и Gamarue, способных извлекать информацию из различных приложений, например, Google Chrome, Mozilla Firefox, Microsoft Outlook и пр.
Отличительная особенность операции заключается в использовании модифицированного процесса эксплуатации известных уязвимостей в Microsoft Word ( CVE-2017-0199 и CVE-2017-11882 ), позволяющего инфицировать систему, не привлекая внимания антивирусов.
На первом этапе злоумышленники рассылают вредоносные документы MS Word, содержащие RTF файл. Именно он загружает конечный вредоносный модуль, не вызывая подозрений со стороны защитных решений. По словам специалистов, только 2 из 58 антивирусов сочли файл подозрительным, при этом они всего лишь предупреждали, что документ неправильно отформатирован.
Атака эксплуатирует особенности формата RT, который поддерживает возможность встраивания объектов с помощью технологии Object Linking and Embedding (OLE) и использует большое количество управляющих слов для определения содержащегося контента. Обычно парсеры RTF игнорируют неизвестное содержимое, тем самым предоставляя отличную возможность скрыть эксплоит. В итоге для запуска кода злоумышленникам не нужно заставлять пользователя менять настройки в Microsoft Word или нажимать на какие-либо опции.
Кроме прочего, для сокрытия вредоносного документа от обнаружения злоумышленники меняют значения заголовка OLE-объекта, добавляя данные, которые выглядят как тег <FONT>, но на деле являются эксплоитом для уязвимости CVE-2017-11882 в Microsoft Office.
Более подробно процесс атаки описан здесь .