Кампания Remcos использует старый метод обхода UAC

RAT Remcos активно используется злоумышленниками с киберпреступными и шпионскими мотивами. Фишинговые электронные письма, распространяющие троян, содержат вложения в виде архивов tar.lz, которые обычно маскируются под финансовые документы. В архивах находятся исполняемые файлы DBatLoader, в которые упакован Remcos. При загрузке выполняется скрипт, создающий фиктивный доверенный каталог %SystemRoot%\System32 с пробелом в конце. Это позволяет обойти механизм Windows UAC и выполнить ВПО с повышенными привилегиями.


Выпущен PoC-эксплойт для уязвимости Microsoft Word RCE

CVE-2023-21716 (CVSS 9,8) была обнаружена исследователем Джошуа Дж. Дрейком в ноябре 2022 года. Критическая уязвимость связана с повреждением кучи в анализаторе RTF Microsoft Word и позволяет злоумышленникам удаленно выполнять код. Зараженный RTF-файл может быть отправлен по электронной почте. При этом жертве достаточно открыть файл в панели предварительного просмотра, чтобы уязвимость была проэксплуатирована. Microsoft устранила данный недостаток в февральских обновлениях безопасности. Полный список уязвимых продуктов MS Office доступен в бюллетене.


Новый вредонос заражает маршрутизаторы и следит за пользователями

Продолжающаяся хакерская кампания под названием Hiatus нацелена на маршрутизаторы DrayTek Vigor 2960 и 3900 с целью кражи данных жертв и создания скрытой прокси-сети. Кампания опирается на три компонента: вредоносный сценарий bash, вредоносное ПО под названием HiatusRAT и утилиту tcpdump. Злоумышленник отслеживает трафик на портах 21, 25, 110 и 143, тем самым перехватывая содержимое электронной почты, учетные данные, а также загруженные файлы. Как только данные захвата достигают определенной длины, они отправляются на C2-сервер вместе с информацией о маршрутизаторе.