Встроенный в документ вредонос устанавливает соединение с внешним ресурсом под контролем злоумышленников и выкачивает оттуда дополнительные файлы. Содействие конечного пользователя в этом не требуется вовсе.
Первым скачивается скрипт, написанный на Visual Basic, который, в свою очередь, инициирует загрузку JPG-изображения с вшитым в него DLL-файлом, закодированным по протоколу Base64. Такая стеганографическая тактика позволяет снизить обнаруживаемость, причём довольно основательно.
DLL внедряется в системный файл Regasm.exe (средство регистрации сборок), и используется для запуска финального звена в цепочки заражения - Agent Tesla.
Этот вредонос представляет собой продвинутый кейлоггер и троянец удаленного доступа, написанный на .NET. Его назначение - выуживать значимую информацию из скомпрометированных устройств и передавать на удаленный сервер.
Старость - в радость
«Исправления для уязвимостей в популярном ПО обыкновенно выходят через очень непродолжительный промежуток времени после их обнаружения, так что первые четыре цифры индекса CVE - это и год обнаружения, и год устранения», - говорит , эксперт по информационной безопасности компании SEQ. По его словам, если сейчас идёт успешная эксплуатация уязвимостей 2017-2020 гг., значит за прошедшие три-шесть лет у администраторов пострадавших организаций не нашлось времени их исправить. «И это всё равно, что оставлять открытой форточку на первом этаже в районе, где заведомо известно о повышенном уровне криминала. Ни окно само собой не закроется, ни уязвимость не устареет настолько, чтобы никому не пришло бы в голову её задействовать», - подытожил Михаил Зайцев.
Как отмечает издание The Hacker News, за последнее время это уже не первый случай, когда киберзлоумышленники прицельного используют старые уязвимости для осуществления атак. Из последних примеров - это использование «бага» в Oracle WebLogic Server (СVE-2020-14883, 7,2 балла по шкале угроз CVSS). Участники группировки 8220 Gang эксплуатируют эту уязвимость для распространения криптомайнеров.
Отмечается также, что вышеупомянутый Regasm.