Киберпреступники эксплуатируют недавно исправленную критическую уязвимость Adobe Flash Player в рамках масштабной рассылки спама. Непродолжительная атака, нацеленная на компьютеры США и Европы с непропатченной версией проигрывателя, была выявлена экспертами Morphisec.

По данным исследователей, в сообщениях киберпреступники просят жертву загрузить документ Word. После запуска текстового редактора и включения макросов вредоносная программа пытается использовать ошибку Adobe Flash Player (CVE-2018-4878), уже исправленную разработчиком ранее в этом месяце. В случае успешной атаки злоумышленники получают полный доступ к системе пользователя.

Компания Adobe назвала эту ошибку критической. Уязвимость относится к типу use-after-free и затрагивает версии Flash Player для Windows 10, macOS, Linux и Chrome OS.

Впервые об эксплойте 31 января сообщила южнокорейская группа быстрого реагирования на компьютерные инциденты, которая определила его как файл Flash SWF, внедренный в документы Microsoft Word и Excel.

Михаэль Горелик (Michael Gorelik), генеральный директор по технологиям и вице-президент отдела исследований и разработок компании Morphisec, отметил, что вредоносные документы, указанные в спаме короткой ссылкой, могли обходить большую часть антивирусных систем, показав низкий процент обнаружения на VirusTotal.

Adobe_Vuln_Spam_CVE-2018-4878-in-the-wild

“После загрузки и открытия документа отрабатывает эксплойт Flash 2018-4878 и открывается командная строка. В нее вводится шелл-код, устанавливающий соединение с вредоносным доменом (C2), — пишет Горелик в технической заметке с описанием атаки. — Оттуда на компьютер загружается файл dll “m.db”, который выполняется с помощью процесса regsvr32 с целью обхода белых списков”.

Процесс regsvr32 (Microsoft Register Server) — это утилита командной строки в ОС Windows, которая используется для регистрации и отмены регистрации файлов DLL и элементов управления ActiveX в контексте системного реестра.

По словам исследователей, в фишинговых письмах с короткими ссылками применяется такой же шаблон, как и в обычных email-рассылках, из-за чего вредоносные сообщения трудно распознать. Кроме того, документы загружаются из безопасного хранилища в домене .biz, и коэффициент их обнаружения составляет всего лишь 1/67.

“Жертвы чаще всего переходят по ссылкам в течение нескольких первых часов после массовой отправки сообщений. Антивирусы, работающие по сигнатурам, попросту не успевали их проверить”, — добавил Горелик.

Комментируя данную спам-кампанию, представитель Adobe заявил, что большинство экплойтов ориентированы на программные продукты без последних обновлений безопасности, и порекомендовал пользователям устанавливать патчи сразу после их выхода.

По мнению Горелика, в ближайшем будущем экспертам по кибербезопасности еще не раз придется столкнуться с уязвимостью CVE-2018-4878. Несмотря на то, что разработчик выпустил исправление в начале февраля, многие компании его еще не установили и не защищены от новых способов использования этой бреши.

Категории: Кибероборона, Спам, Уязвимости