Кибербезопасность: цепочка заражения от документа Excel до LuaJIT-инфостилера
Была обнаружена новая цепочка заражения, где злоумышленники используют документ Excel в качестве первого этапа, что в конечном итоге приводит к запуску вредоносного LuaJIT-загрузчика и инфостилера. Эта цепочка характеризуется использованием нестандартных расширений файлов, что усложняет ее обнаружение. Целью таких атак могут быть пользователи, работающие с электронными таблицами Microsoft Office.
Подробности
При анализе обнаруженной цепочки заражения, было выявлено, что она начинается с документа Excel, содержащего OLE-объект. Этот объект инициирует загрузку следующего этапа загрузки. Интересной особенностью является использование файлов с нестандартными расширениями, такими как .PIF и .TTF, которые не соответствуют их ожидаемому назначению как ярлыка или шрифта. Такой подход усложняет выявление вредоносной активности. В цепочке не обнаружено известных уязвимостей, помеченных CVE, но присутствует возможность удаленного выполнения кода (RCE), что является опасным вектором атаки.Что делать
Для защиты от подобных атак важно использовать надежные решения информационной безопасности, включая системы обнаружения и предотвращения вторжений, а также обеспечивать регулярные обновления программного обеспечения и системы. Использование виртуальной частной сети (VPN) и многофакторной аутентификации (MFA) также может повысить уровень защиты. Кроме того, ограничение доступа к файлам и папкам, а также мониторинг активности в сети и на эндпоинтах, могут помочь в выявлении и сдерживании подобных угроз. Итог: Выявление и анализ цепочки заражения, начиная от документа Excel и ведущей к LuaJIT-инфостилеру, подчеркивает необходимость постоянной бдительности и адаптации мер информационной безопасности к эволюционирующим киберугрозам. Регулярный мониторинг и обновление защитных систем остаются ключевыми факторами в борьбе с вредоносной активностью.Источник: Хабр — Информационная безопасность
