Специалисты кибербезопасности из FortiGuard Labs выявилимасштабную кампанию по распространению вредоносного ПО LokiBot (Loki PWS). Угроза примечательна тем, что используются две известные уязвимости, включая уязвимость Follina.
Троян LokiBot активно используется с 2015 года и специализируется на краже конфиденциальной информации с компьютеров под управлением Windows.
В ходе расследования было обнаружено множество вредоносных документов Microsoft Office. Расследование началось с анализа двух разных типов документов Word, каждый из которых представляет серьёзную угрозу для пользователей.
Первый тип документа содержал внешнюю ссылку, встроенную в XML-файл под названием “word/_rels/document.xml.rels”. В обнаруженном документе Word, эксплуатирующем уязвимость CVE-2021-40444 , был найден файл с названием “document.xml.rels”. Этот файл содержал внешнюю ссылку, с помощью которой пользователь был перенаправлен на облачный сервис обмена файлами “GoFile” через сервис сокращения ссылок Cuttly.
Дальнейший анализ показал, что доступ по ссылке инициировал загрузку html-файла с использованием второй уязвимости CVE-2022-30190 (Follina). Эта полезная нагрузка загружает файл инжектора с пометкой с вредоносного
Изначально URL был изобретен для обозначения местоположения различных файлов в Интернете, и только со временем стал использоваться для того, чтобы обозначать адреса всех ресурсов, независимо от их типа.