Пользователи Excel, берегитесь: древняя уязвимость вновь используется для скрытых атак
Атака включает в себя документ Excel, который использует уязвимость повреждения памяти в редакторе уравнений, позволяя выполнять вредоносный код. Замысловатый процесс заражения начинается с обфусцированного Visual Basic Script, инициирующего загрузку вредоносного JPG-файла, содержащего Base64-кодированный DLL-файл.
Затем этот DLL-файл внедряется в инструмент регистрации сборок Windows (RegAsm.exe), прокладывая путь для конечной полезной нагрузки — Agent Tesla, продвинутого кейлоггера и трояна удаленного доступа (RAT). Способный незаметно собирать конфиденциальную информацию, Agent Tesla связывается с удаленным сервером C2 для извлечения украденных данных.
Исследователь безопасности Кайвалия Хурсале (Kaivalya Khursale) подчеркивает, что для защиты от таких сложных атак важно постоянно обновляться.