Последние пару недель исследователи из Microsoft наблюдают активизацию спам-рассылок, нацеленных на эксплуатацию уязвимости CVE-2017-11882. Зловредные письма, по всей видимости, ориентированы на жителей европейских стран, так как они оформлены на разных языках, используемых в Евросоюзе.

Уязвимость, грозящая выполнением вредоносного кода, появилась в Microsoft Office из-за неудачной реализации редактора формул сторонней разработки. Она была пропатчена полтора года назад, а потом Microsoft и вовсе удалила эту функциональность из своих офисных программ, предложив пользователям достойную альтернативу. Тем не менее, соответствующий эксплойт, видимо, все еще эффективен: он до сих пор держит первенство по популярности у авторов атак и лидирует в рейтинге вредоносных вложений в спам.

В ходе текущей спам-кампании злоумышленники распространяют вредоносный документ RTF, который достаточно просто открыть, чтобы запустить загрузку и выполнение различных скриптов (VBScript, PowerShell, PHP). В Bleeping Computer проверили одно из таких вложений — при его открытии с Pastebin загрузился сценарий, который выполнил PowerShell-команду на загрузку целевого исполняемого файла (bakdraw.exe). Для его запуска и закрепления в системе создается запланированное задание с именем SystemIDE.

По свидетельству Microsoft, файл bakdraw.exe является бэкдором, который после запуска пытается установить связь с командным сервером. В настоящее время запрашиваемый им домен заблокирован, однако злоумышленники могут в любой момент перенести центр управления и обновить зловреда.

Категории: Вредоносные программы, Спам, Уязвимости