Через "дыру" в Word заразились миллионы компьютеров

Уязвимость "нулевого дня" в текстовом редакторе Word, о существовании которой стало известно на этой неделе, использовалась как лазейка для распространения самого опасного банковского трояна Dridex.

Как выяснили эксперты Proofpoint, "дыра" позволила злоумышленникам разослать зараженные вирусом RTF-документы на миллионы компьютеров, в основном в Австралии.

Первым "нулевую" (ту, о которой ранее ничего не было известно) уязвимость обнаружили специалисты по безопасности из компаний McAfee and FireEye. Она примечательна тем, что позволяет обходить любые встроенные средства защиты, не требует запуск макроса и работает даже на Windows 10, которая считается самой безопасной "осью" Microsoft. Уязвимость затрагивает все Windows-версии Word.

"Дырой", позволяющий дистанционно загрузить вредоносное ПО на компьютер, уже воспользовались хакеры. Неизвестные отправляли жертвам (в основном сотрудникам организаций, базирующихся в Австралии) по электронной почте документ в формате.RTF (Rich Text Format), содержавший исполняемый HTML-документ с расширением.HTA. Как только получатель открывал вложение, "плохие" скрипты автоматически устанавливали на его компьютер Dridex botnet 7500 - одну из многочисленных версий опаснейшего банковского трояна.

Эпидемия Dridex пришлась на 2015-2016 годы. Попадая в систему через макросы в документах Word и таблицах Excel, троянец подчинял себе ПК и превращал его в состав ботнета, управляемого хакерами. Главная функциональность Dridex - кража учетных данных для доступа к онлайн-банкингу и перевод средств на чужие счета. В конце марта этого года, после некоторого периода тишины, была зафиксирована новая волна заражений - очевидно, связанная с "дырой" в Word.

Microsoft