Надстройки Microsoft Visual Studio могут использоваться для доставки вредоносного ПО
вычисления techradar.com Новости

Надстройки Microsoft Visual Studio могут использоваться для доставки вредоносного ПО

4 февраля 2023 г.

После прекращения использования макросов в файлах Microsoft Office кажется, что Согласно новым отчетам, альтернативный метод набирает популярность.

Исследователи кибербезопасности из Deep Instinct обнаружили всплеск использования Microsoft Visual Studio Tools for Office (VSTO) среди киберпреступников, поскольку они создают вредоносные надстройки для Office. ins, которые помогают им сохранять устойчивость и запускать вредоносный код на целевых конечных точках.

Здесь хакеры создают вредоносное ПО на основе .NET, а затем внедряют его в надстройку Office, что требует от злоумышленника большей квалификации.

Обход антивируса

Этот метод нельзя назвать новым, но он не был так популярен, пока доминировали макросы Office. Теперь, когда Microsoft эффективно устранила эту угрозу, угроз, созданных VSTO, становится все больше. Эти надстройки могут быть отправлены вместе с документами Office или размещены в другом месте и активированы документом Office, отправленным злоумышленниками.

Подробнее

> Microsoft Office теперь блокирует макросы по умолчанию
> Цифры, которые показывают, почему Microsoft так беспокоится о макросах Office

> Вот наше краткое изложение лучшие службы защиты от программ-вымогателей прямо сейчас

Другими словами, чтобы заразиться, жертве по-прежнему необходимо загрузить и запустить файл Office и надстройку, поэтому фишинг по-прежнему будет играть важную роль. При этом вектор атаки по-прежнему довольно опасен, поскольку он способен успешно обходить антивирусные программы и другие службы защиты от вредоносных программ. Фактически, Deep Instinct удалось создать рабочий Proof-of-Concept (PoC), который доставил полезную нагрузку Meterpreter в конечную точку. Видеодемонстрацию PoC можно найти по адресу эта ссылка. Исследователи заявили, что им пришлось отключить Microsoft Windows Defender только для того, чтобы записать процесс.

Meterpreter, продукт безопасности, используемый для тестирования на проникновение, был легко обнаружен антивирусными продуктами, однако, по их словам, не были обнаружены все элементы PoC.

В заключение: исследователи ожидают, что количество атак, созданных с помощью VSTO, будет продолжать расти. Они также ожидают, что национальные государства и другие субъекты «высокого уровня» также примут эту практику.

Через: BleepingComputer

Оригинал

Recent Post

Categories

PREVIOUS ARTICLE
NEXT ARTICLE