Хакеры с помощью атаки RenderShock заражают Windows даже без открытия файла

Хакеры с помощью атаки RenderShock заражают Windows даже без открытия файла

Изображение: Clint Patterson (unsplash)

Исследователи в области кибербезопасности сообщили о появлении нового класса атак — RenderShock, который представляет особую угрозу для пользователей Windows. В отличие от традиционных схем заражения, RenderShock не требует от пользователя открытия файла, перехода по ссылке или запуска вложения. Активация вредоносного кода происходит пассивно, когда операционная система или служебные компоненты просто обрабатывают файл в фоновом режиме.

По данным компании Cyfirma, вектор атаки основан на использовании стандартных функций Windows, таких как панели предпросмотра, службы индексирования, антивирусные сканеры и облачные синхронизаторы. Это именно те инструменты, которые обеспечивают удобство работы с файлами: быстрый поиск, предварительный просмотр, автоматическое сканирование и отображение метаданных.

Суть RenderShock заключается в следующем: злоумышленник подготавливает файл с внедрённым вредоносным кодом — это может быть PDF-документ с внешней ссылкой, Word-файл с макросом, LNK-ярлык или специально созданный многоформатный объект. Затем файл размещается в ZIP-архиве или другом носителе. Как только он попадает в поле обработки системы — например, при наведении курсора в проводнике, сканировании антивирусом или индексации системой поиска — запускается выполнение вредоносной логики.

Сценарий RenderShock включает пять фаз — от доставки файла до активации удалённого кода. Среди возможных последствий:

  • незаметный сбор системной информации через DNS-запросы;
  • утечка учётных данных через механизмы SMB-аутентификации (включая NTLM-хеши);
  • удалённое выполнение кода с использованием встроенных функций предпросмотра или системных ярлыков;
  • передача конфиденциальных данных на внешние ресурсы без уведомления пользователя.

Пример, приведённый экспертами: файл с расширением .LNK, помещённый в ZIP-архив, может инициировать обращение Windows Explorer к внешнему серверу за иконкой, что уже приводит к передаче авторизационных данных, даже если пользователь не открыл файл.

Особая опасность заключается в том, что RenderShock задействует легитимные системные процессы — explorer.exe, searchindexer.exe, preview-handlers Office — которые не вызывают подозрений у антивирусных решений. Такие процессы часто входят в белые списки и считаются безопасными, что позволяет вредоносной активности оставаться незамеченной.

Артем
Автор: Артем
Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Комментарии: