Специалисты Microsoft Security Intelligence предупредили пользователей о спам-кампании, письма которой содержат вредоносные документы RTF. Злоумышленники заражают системы пользователей вредоносным ПО практически без взаимодействия с жертвами: достаточно просто открыть приложенный к письму файл RTF.
An active malware campaign using emails in European languages distributes RTF files that carry the CVE-2017-11882 exploit, which allows attackers to automatically run malicious code without requiring user interaction. pic.twitter.com/Ac6dYG9vvw
— Microsoft Security Intelligence (@MsftSecIntel) June 7, 2019
Волна спама направлена на европейских пользователей, и электронные письма злоумышленников написаны на разных европейских языках. Эксперты пишут, что после открытия вредоносного файла RTF происходит автоматическая загрузка различных скриптов (VBScript, PowerShell, PHP и так далее), с помощью которых на машину жертвы попадает финальный пейлоад. Полезной нагрузкой в данном случае выступает неназванный бэкдор, хотя в настоящее время его управляющий сервер неактивен.
Для распространения свой малвари преступники используют старую уязвимость в Office, которую Microsoft исправила еще в ноябре 2017 года (CVE-2017-11882), то есть пользователи, не пренебрегающие установкой обновлений, должны быть в безопасности. Напомню, что данный баг связан с работой компонента Equation Editor, включенного в состав Office. Тот использовался для обеспечения совместимости, наряду с более новым модулем Microsoft Equation Editor. Интересно, что после обнаружения еще одной проблемы в составе Equation Editor, он был окончательно удален из пакета Office в январе 2018 года.
На сегодняшний день CVE-2017-11882 является одной из наиболее популярных уязвимостей в преступном мире. Злоумышленники эксплуатируют этот баг с самого 2017 года, по сей день атакуя пользователей, которые не беспокоятся о своевременной установке обновлений безопасности. К примеру, эксперты Recorded Future назвали проблему CVE-2017-11882 третьей наиболее используемой уязвимостью в 2018 году, а специалисты «Касперского» поставили ее на первое место в списке.
Такая популярность CVE-2017-11882 объясняется очень просто: проблема не требует взаимодействия с пользователем, в отличие от большинства других эксплоитов для Office, которые требуют, чтобы жертва включала макросы или отключала различные функции безопасности.
