Об очередной атаке спамеров Microsoft сообщает на своей странице в Twitter.
Аналитики считают, что цель кампании – жители европейских стран. Основанием для таких предположений стало то, что письма с вирусом написаны на языках, используемых в Евросоюзе.
Отправители вирусных писем эксплуатируют уязвимость CVE-2017-11882, которая связана с редактором формул (Equation Editor) в MS Office.
В Microsoft исправили проблему еще в ноябре 2017 года, а через пару месяцев компонент был удалён из офисных программ и заменён альтернативной функциональностью.
Но, как это ни странно, действующий эксплоит для уязвимости все еще эффективен.
Сама же спам-кампания такова: злоумышленники рассылают письма с вредоносами RTF. Сообщение достаточно открыть, чтобы начались загрузка и выполнение скриптов VBScript, PowerShell, PHP. Таким способом на компьютер загружается троян Trojan:MSIL/Cretasker - бэкдор, который после запуска пытается установить связь с C&C-сервером. В настоящее время домен, к которому обращается троян, заблокирован, но злоумышленники могут в любой момент, используя ту же тактику, организовать новую кампанию, предупреждают эксперты.