/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F52%2F81cb657945c8a854f6026e0176f57eb0.jpg)
Якщо ви досі користуєтесь WordPad, припиніть негайно – його використовують для поширення вірусу
Як повідомляє 24 Канал, про вразливість розповіли експерти спільноти Cryptolaemus. Такий розвиток подій викликає занепокоєння щодо безпеки користувачів Windows 10 і потенціалу подібних атак на інше програмне забезпечення.
Механіка нової атаки
Вразливість полягає в механізмі пошуку DLL-файлів WordPad, який необхідний для нормального функціонування програми. Коли WordPad запускається, він автоматично шукає файли DLL, починаючи з папки, що містить його виконуваний файл. Однак цей процес не перевіряє цілісність або легітимність DLL-файлів, що дозволяє зловмисникам впроваджувати шкідливий код.
Цей тип атаки, відомий як "завантаження" або "перехоплення" DLL, вже використовувався в минулому. Раніше подібна вразливість була виявлена в Калькуляторі Windows, що дозволило кіберзлочинцям виконати шкідливий код. Тепер хакери скористалися можливістю пошуку DLL-файлів у WordPad для продовження своїх зловмисних дій.
Як тільки шкідливий DLL-файл запускається WordPad, він отримує доступ до виконуваного файлу Curl.exe в папці System32. Цей виконуваний файл використовується для завантаження замаскованого PNG-зображення, яке насправді є старою версією трояна Qbot.
Тривожним аспектом цієї атаки є те, що вона використовує ресурси легітимної програми WordPad, що ускладнює виявлення загрози антивірусним програмам. Це збільшує ймовірність того, що атака залишиться непоміченою для користувачів, які нічого не підозрюють. Крім того, атака спирається на наявність утиліти Curl.exe, яка не входить до стандартного пакету Windows до версії 10.
Як вберегтися від атаки
Користувачам настійно рекомендується регулярно оновлювати антивірусне програмне забезпечення та операційні системи, щоб захиститися від подібних вразливостей. Компанія Microsoft була повідомлена про цю проблему, і очікується, що вона випустить патч безпеки для усунення вразливості WordPad в найкоротші терміни. Тим часом користувачам слід бути обережними, відкриваючи файли або документи з ненадійних джерел, особливо отримані електронною поштою.
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Fadmin%2Ffavicons%2Fsocial-icon-24.png){kind=icon}
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F53%2F7a7384c0ea0fe6b021aa145c565321fa.jpg)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F53%2Ffb58a2cf3fcc21efcf9b64d70abe2d50.jpg)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F137%2F258362f014d2c0e81f8c6b31bb03dfac.jpg)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F137%2Fc03815ab2d2fb25968717bf27a34a791.jpg)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F434%2F108c823557a6dc7fc2cf0f887da8d522.jpg)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F434%2F3c426ebe3919f6ed2ba347d6b7e022ad.jpg)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F53%2Fc2780adf58ae5dcec2915f86e0019a63.jpg)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F434%2F12544f34e405063c437a72f10c123286.jpg)
/https%3A%2F%2Fs3.eu-central-1.amazonaws.com%2Fmedia.my.ua%2Ffeed%2F434%2F264acd7c0839cc995df9b68e0c29d1cd.jpg)