Уязвимость "нулевого дня" в текстовом редакторе Word, о существовании которой стало известно на этой неделе, использовалась как лазейка для распространения самого опасного банковского трояна Dridex. Как выяснили эксперты Proofpoint, "дыра" позволила злоумышленникам разослать зараженные вирусом RTF-документы на миллионы компьютеров, в основном в Австралии.
Первым "нулевую" (ту, о которой ранее ничего не было известно) уязвимость обнаружили специалисты по безопасности из компаний McAfee and FireEye. Она примечательна тем, что позволяет обходить любые встроенные средства защиты, не требует запуск макроса и работает даже на Windows 10, которая считается самой безопасной "осью" Microsoft. Уязвимость затрагивает все Windows-версии Word.
"Дырой", позволяющий дистанционно загрузить вредоносное ПО на компьютер, уже воспользовались хакеры. Неизвестные отправляли жертвам (в основном сотрудникам организаций, базирующихся в Австралии) по электронной почте документ в формате .RTF (Rich Text Format), содержавший исполняемый HTML-документ с расширением .HTA. Как только получатель открывал вложение, "плохие" скрипты автоматически устанавливали на его компьютер Dridex botnet 7500 — одну из многочисленных версий опаснейшего банковского трояна.
Эпидемия Dridex пришлась на 2015–2016 годы. Попадая в систему через макросы в документах Word и таблицах Excel, троянец подчинял себе ПК и превращал его в состав ботнета, управляемого хакерами. Главная функциональность Dridex — кража учетных данных для доступа к онлайн-банкингу и перевод средств на чужие счета. В конце марта этого года, после некоторого периода тишины, была зафиксирована новая волна заражений — очевидно, связанная с "дырой" в Word.