Новости

Файлы табличного редактора Microsoft Excel используют для кибератак

Fortinet обнаружили схему компрометации и захвата хостов с помощью скрипта в файлах Microsoft Excel.
Злоумышленники используют законный фрэймворк для пентестов Cobalt Strike чтобы наладить связь с серверами злоумышленников.
Как это работает:
  1. Пользователь под воздействием техник социальной инженерии со стороны злоумышленника запускает файл Microsoft Excel.
  2. Табличный редактор запускает Visual Basic for Application скрипт из открытого файла.
  3. Скрипт запускает DLL загрузчик через regsvr32 для проверки запущенных антивирусных систем.
  4. Загрузчик подключается к удаленному серверу злоумышленников для загрузки вредоносного файла.
  5. Вредоносный файл развертывает Cobalt Strike Beacon, который и устанавливает связь с инфраструктурой злоумышленников.
Злоумышленники хитры, они используют проверку геолокации, кодировку строк и функции самоуничтожения, методики обхода средств защиты, чтобы скрыть свое присутствие от специалистов по безопасности.

Будьте осторожны, запускайте только проверенные файлы и от проверенных отправителей.
2024-06-05 08:32 Кибератаки