RCE-уязвимость в Internet Explorer активно эксплуатируется в атаках

Чт 1 Октябрь 2020 09:01

В начале сентября 2020 года специалисты ClearSky обнаружили уникальный вредоносный RTF-файл, загруженный на VirusTotal из Беларуси. Имя файла и его содержание написаны на русском языке и представляют собой множество форм для заполнения, касающихся лиц, обвиняемых в различных преступлениях.

RTF-файл открывает Microsoft Word, который позже выполняет произвольный код по выбору злоумышленников — в этом случае программа получает доступ к контролируемому злоумышленником серверу через URL Moniker, а затем загружает и выполняет HTM-файл.

Благодаря функциональности URL Moniker, файл открывается в фоновом режиме Internet Explorer, даже если данный браузер не выбран пользователем по умолчанию. Если эксплоит Internet Explorer запускается успешно, он загрузит дополнительный файл с сервера — зашифрованный DLL-файл «a1a.dll.». Как обнаружили специалисты, ShellCode успешно расшифровывает и запускает DLL.

Статья уведена с www.securitylab.ru.

NetLan.ru жив уже 14 лет 256 дней 1 час 25 минут 44 секунды
СМК NetLan (Nettlesome Landloper) — некоммерческий интернет-ресурс.
Весь данный интернет-ресурс и всё созданное или размещённое на нём используется в личных целях.