Спамеры активно эксплуатируют уязвимость в MS Office для распространения бэкдора : Windows

Компания Microsoft предупредила о текущей спам-кампании, в рамках которой злоумышленники распространяют электронные письма с целью заражения систем вредоносным ПО. Судя по всему, кампания в основном направлена на жителей европейских стран, поскольку сообщения оформлены на различных языках, используемых в Евросоюзе.

В ходе атак организаторы кампании эксплуатируют уязвимость CVE-2017-11882, затрагивающую редактор формул (Equation Editor) в MS Office. Исправление для данной проблемы было выпущено еще в ноябре 2017 года, а в январе 2018 года Microsoft и вовсе удалила этот компонент из своих офисных программ, заменив его альтернативной функциональностью. Тем не менее, как показывает практика, действующий эксплоит для данной уязвимости все еще эффективен, учитывая его лидирующие позиции в рейтингах популярности среди организаторов атак.

В ходе текущей спам-кампании злоумышленники распространяют вредоносный документ RTF, который достаточно просто открыть, чтобы запустить загрузку и выполнение различных скриптов (VBScript, PowerShell, PHP). По словам специалистов Microsoft, на компьютер загружается троян Trojan:MSIL/Cretasker - бэкдор, который после запуска пытается установить связь с C&C-сервером. В настоящее время домен, к которому обращается троян, заблокирован, но злоумышленники могут в любой момент, используя ту же тактику, организовать новую кампанию, предупреждают эксперты.