Новая волна кибератак: 320 организаций под угрозой из-за скрытых вирусов в изображениях

В последнее время сфера кибербезопасности столкнулась с новой серьезной угрозой, которая затронула более 320 организаций по всему миру. Киберпреступная группа TA558, известная своими атаками с 2018 года, особенно на организации из сферы путешествий и туризма, запустила новую кампанию под кодовым названием SteganoAmor. В этот раз злоумышленники прибегли к методу стеганографии — скрытию вредоносного кода внутри графических изображений, что существенно усложняет его обнаружение как для пользователей, так и для защитных программ.

Атака начинается с распространения электронных писем, содержащих вложения в виде документов Excel и Word. При их открытии активируется злоумышленный код, эксплуатирующий уже известную уязвимость в программном обеспечении Microsoft (CVE-2017-11882), обнаруженную еще в 2017 году. Несмотря на то что Microsoft выпустила обновление для устранения этой уязвимости, многие системы до сих пор остаются без защиты из-за невыполнения пользователем обновлений.

В случае успешной эксплуатации уязвимости, злоумышленники используют скрипт Visual Basic Script (VBS) для загрузки изображения в формате JPG, которое содержит в себе скрытый зашифрованный код. Этот код, в свою очередь, активирует одну из нескольких вредоносных программ, включая AgentTesla, FormBook, Remcos, LokiBot, Guloader, Snake Keylogger, и XWorm, угрожающих безопасности данных и конфиденциальности организаций.