IMOEX 2186.75 1.0%
·Технологии·10 июля 2026 г.

Разбор цепочки заражения через документ Excel: от OLE-объекта до LuaJIT-инфостилера

Большинство современных вредоносных рассылок уже давно не используют классические макросы Microsoft Office. Вместо этого злоумышленники строят многоступенчатые цепочки заражения, где каждый компонент выполняет только одну небольшую задачу: первоначальный документ лишь инициирует загрузку следующего этапа, тот скачивает новый компонент, который в свою очередь запускает основной вредоносный модуль.

В ходе анализа одного из подобных образцов была исследована полная цепочка заражения — от письма с вложением Excel до запуска LuaJIT-загрузчика и последующего инфостилера. Интересной особенностью является использование файлов с нестандартными расширениями (.PIF и .TTF), которые на самом деле не являются ни ярлыком, ни шрифтом.

Давайте рассмотрим каждый этап работы вредоносной цепочки.

Источник: https://habr.com/ru/articles/1057686/?utm_campaign=1057686&utm_source=habrahabr&utm_medium=rss