Уязвимость Microsoft Office становится временной бомбой в руках киберпреступников

В последнее время злоумышленники активно используют уязвимость Microsoft Office, впервые обнаруженную больше шести лет назад, в фишинговых кампаниях для распространения вредоносного ПО Agent Tesla. Отчёты Zscaler ThreatLabz и Fortinet FortiGuard Labs свидетельствуют о том, что для обмана пользователей преступники применяют поддельные Excel-документы, замаскированные под счета-фактуры.

Agent Tesla — это продвинутый кейлоггер и троян для удаленного доступа на базе .NET, способный собирать конфиденциальные данные и передавать их на удалённый сервер злоумышленников.

Уязвимость в редакторе формул Microsoft Office, отслеживаемая под идентификатором CVE-2017-11882 (CVSS 7.8), позволяет злоумышленникам выполнять произвольный зловредный код.

Как отмечает исследователь Каиваля Кхурсале, после открытия заражённого Excel-файла начинается загрузка дополнительных вредоносных компонентов, причём даже без взаимодействия с пользователем.

Сначала загружается обфусцированный скрипт на Visual Basic, который затем скачивает JPG-файл с зашифрованной DLL-библиотекой. Этот метод стеганографии был подробно описан специалистами McAfee в сентябре 2023 года. Для конечного запуска вредоноса DLL-файл внедряется в инструмент регистрации сборок Windows (RegAsm.exe).

Кхурсале подчёркивает важность для специалистов безопасности постоянного обновления собственной базы знаний о методах заражения, а также обновления непосредственно используемого программного обеспечения, чтобы у хакеров не было возможности использовать многолетние дыры в безопасности. Только так можно добиться эффективной защиты цифровой среды организации.