
Разбор цепочки заражения через документ Excel: от OLE-объекта до LuaJIT-инфостилера
Vladislav_Podobed 1 минуту назад Разбор цепочки заражения через документ Excel: от OLE-объекта до LuaJIT-инфостилера Простой 7 мин 3 Информационная безопасность * Реверс-инжиниринг * Аналитика ВведениеБольшинство...
<5 — 2026'da uzaya kaç SpaceX Starship fırlatması ulaşacak?
В сфере искусственного интеллекта произошло заметное событие. Vladislav_Podobed 1 минуту назад Разбор цепочки заражения через документ Excel: от OLE-объекта до LuaJIT-инфостилера Простой 7 мин 3 Информационная безопасность * Реверс-инжиниринг * Аналитика ВведениеБольшинство современных вредоносных рассылок уже давно не используют классические макросы Microsoft Office. Вместо этого злоумышленники строят многоступенчатые цепочки заражения, где каждый компонент выполняет только одну небольшую задачу: первоначальный документ лишь инициирует загрузку следующего этапа, тот скачивает новый компонент, который в свою очередь запускает основной вредоносный модуль. В ходе анализа одного из подобных образцов была исследована полная цепочка заражения — от письма с вложением Excel до запуска LuaJIT-загрузчика и последующего инфостилера.
Интересной особенностью кампании является использование файлов с нестандартными расширениями (. TTF), которые на самом деле не являются ни ярлыком, ни шрифтом. Ниже рассмотрим каждый этап работы вредоносной цепочки.
Технические детали
Первоначальное письмоНа электронную почту поступает письмо с вложением:Номер заказа 6482. xlsПри открытии документа пользователь не наблюдает какой-либо подозрительной активности. Документ практически пустой и не содержит заметного содержимого.
Однако если открыть файл как Compound File Storage (OLE Structured Storage), можно увидеть следующую структуру:MBD000203B4 └── OleДля документов формата XLS наличие OLE-потоков является абсолютно нормальным явлением. Однако содержимое потока Ole заслуживает внимания. Внутри присутствует строка: первый взгляд URL напоминает новостную публикацию о Windows Update на сайте WindowsLatest.
На самом деле это лишь попытка замаскировать вредоносную инфраструктуру под легитимный ресурс. Сетевая цепочкаПосле открытия документа начинается последовательность HTTP-запросов. Первый запрос выполняется по адресу: отвечает:HTTP/1.
Отраслевые последствия
1 301 Moved PermanentlyПосле чего происходит перенаправление на сокращённую ссылку: ответ:HTTP/1. 1 302 Foundи браузер перенаправляется на конечный адрес: здесь начинается фактическая стадия заражения. Схематично цепочка выглядит следующим образом:Excel │ ▼ OLE Stream │ ▼ HTTP Request │ ▼ 301 Redirect │ ▼ Shortener │ ▼ 302 Redirect │ ▼ fdd.
htaИспользование нескольких HTTP-редиректов позволяет злоумышленникам:затруднить анализ;быстро менять конечный сервер;скрывать реальную инфраструктуру;обходить простые URL-фильтры. Анализ HTA-файлаПосле прохождения цепочки редиректов загружается файлfdd.
Событие, по словам экспертов, усилит конкуренцию в сфере ИИ.




