Киберэксперты представили новый класс атак — RenderShock, при котором заражение устройства может произойти без единого клика.
Уязвимость кроется в доверии операционных систем к собственным фоновым операциям: предварительный просмотр, индексация или генерация миниатюр теперь становятся не безобидными функциями, а триггерами для автоматического запуска вредоносного кода.
Злоумышленники используют доверенные компоненты ОС, такие как explorer.exe, searchindexer.exe, или механизмы предпросмотра в почтовых клиентах. Вредоносные файлы замаскированы под безобидные PDF, DOCX или даже картинки. Как только система попробует их проанализировать в фоне — запускается вредонос. Это может привести к краже данных, удалённому выполнению кода или даже захвату сети предприятия.
RenderShock особенно опасен тем, что не требует участия пользователя. Хакеры размещают «заряженные» файлы в общих папках или письмах — всё остальное за них делает сама система: открывает, индексирует, генерирует превью и… запускает атаку. Причём антивирусы и системы мониторинга не замечают ничего подозрительного — ведь работают «свои».
Эксперты советуют срочно ограничить автоматическую обработку файлов, запретить исходящий SMB-трафик и мониторить подозрительную активность офисных приложений. А тем, кто хочет крепко спать — довериться GSOC-команде, которая уже не раз имела дело с такими невидимыми угрозами.
Уязвимость кроется в доверии операционных систем к собственным фоновым операциям: предварительный просмотр, индексация или генерация миниатюр теперь становятся не безобидными функциями, а триггерами для автоматического запуска вредоносного кода.
Злоумышленники используют доверенные компоненты ОС, такие как explorer.exe, searchindexer.exe, или механизмы предпросмотра в почтовых клиентах. Вредоносные файлы замаскированы под безобидные PDF, DOCX или даже картинки. Как только система попробует их проанализировать в фоне — запускается вредонос. Это может привести к краже данных, удалённому выполнению кода или даже захвату сети предприятия.
RenderShock особенно опасен тем, что не требует участия пользователя. Хакеры размещают «заряженные» файлы в общих папках или письмах — всё остальное за них делает сама система: открывает, индексирует, генерирует превью и… запускает атаку. Причём антивирусы и системы мониторинга не замечают ничего подозрительного — ведь работают «свои».
Эксперты советуют срочно ограничить автоматическую обработку файлов, запретить исходящий SMB-трафик и мониторить подозрительную активность офисных приложений. А тем, кто хочет крепко спать — довериться GSOC-команде, которая уже не раз имела дело с такими невидимыми угрозами.
