Microsoft предупреждает об активной киберпреступной кампании — злоумышленники используют функции Office для компрометации компьютеров на базе операционной системы Windows. На этот раз под угрозой даже те пользователи, чьи системы полностью обновлены.
В этой новой кампании киберпреступники отошли от эксплуатации известных уязвимостей в программном обеспечении. Вместо этого используется, скорее, обратный подход — вредоносное вложение в виде Excel-документа способно успешно пробить защиту полностью пропатченных систем.
Команда безопасности Microsoft обратила внимание пользователей на новую кампанию в своем Twitter-аккаунте. По словам сотрудников корпорации, атакующие используют сложную цепочку заражения, которая в конечном итоге приводит к установке на целевом компьютере известного RAT-трояна FlawedAmmyy.
При этом вредонос загружается сразу в оперативную память.
Ранее специалисты компании Proofpoint уже изучали поведение FlawedAmmyy. Согласно их отчету, троян атакует финансовые компании и ритейл.
Свои атаки преступники начинают с электронного письма, в котором содержится вложение в формате .xls. Microsoft настоятельно советует ни в коем случае не открывать такое вложение.
«При открытии вредоносного файла он автоматически задействует вредоносный макрос для запуска msiexec.exe. Это приводит к загрузке MSI-архива, содержащего подписанный исполняемый файл. Этот файл загружает другой, причем прямиком в оперативную память компьютера», — пишет техногигант.
Работа исключительно в памяти позволяет вредоносной программе избежать детектирования антивирусными продуктами.