Выполнение кода может быть использовано для дальнейшей загрузки вредоносных программ, кражи данных и других действий.
https://www.securitylab.ru/upload/ib...cd656ca29c.jpg
В начале сентября 2020 года специалисты ClearSky https://docs.google.com/document/d/1...U5WoeErc/edit#уникальный вредоносный RTF-файл, загруженный на VirusTotal из Беларуси. Имя файла и его содержание написаны на русском языке и представляют собой множество форм для заполнения, касающихся лиц, обвиняемых в различных преступлениях.
RTF-файл выполняет произвольный код с C&C-сервера. Выполнение кода может быть использовано для дальнейшей загрузки вредоносных программ, кражи данных и выполнения различных злонамеренных действий. В этом случае файл RTF загружает эксплоит для уязвимости в Internet Explorer ( https://www.securitylab.ru/vulnerability/506628.php). Эксплоит загружает полезную нагрузку, однако файл зашифрован и его необходимо расшифровать для выполнения. По словам экспертов, злоумышленники начали активно эксплуатировать данную уязвимость в атаках.
RTF-файл открывает Microsoft Word, который позже выполняет произвольный код по выбору злоумышленников — в этом случае программа получает доступ к контролируемому злоумышленником серверу через URL Moniker, а затем загружает и выполняет HTM-файл.
Благодаря функциональности URL Moniker, файл открывается в фоновом режиме Internet Explorer, даже если данный браузер не выбран пользователем по умолчанию. Если эксплоит Internet Explorer запускается успешно, он загрузит дополнительный файл с сервера — зашифрованный DLL-файл «a1a.dll.». Как обнаружили специалисты, ShellCode успешно расшифровывает и запускает DLL.