ВРЕДОНОСНОЕ ПО FORMBOOK РАСПРОСТРАНЯЕТСЯ ПОСРЕДСТВОМ ВЛОЖЕНИЙ В WORD

Back to Blog
ВРЕДОНОСНОЕ ПО FORMBOOK РАСПРОСТРАНЯЕТСЯ ПОСРЕДСТВОМ ВЛОЖЕНИЙ В WORD

ВРЕДОНОСНОЕ ПО FORMBOOK РАСПРОСТРАНЯЕТСЯ ПОСРЕДСТВОМ ВЛОЖЕНИЙ В WORD

ВРЕДОНОСНОЕ ПО FORMBOOK РАСПРОСТРАНЯЕТСЯ ПОСРЕДСТВОМ ВЛОЖЕНИЙ В WORD

Новая волна атак нацелена преимущественно на сектор финансовых и информационных услуг на Ближнем Востоке и в США.

Исследователи безопасности из компании Menlo Security зафиксировали новую вредоносную кампании с использованием программы для хищения паролей FormBook, распространяемой посредством вредоносного вложения в документах Microsoft Word. Об этом сообщает издание Threatpost.

По словам исследователей, новая волна атак нацелена преимущественно на сектор финансовых и информационных услуг на Ближнем Востоке и в США. Особенностью данной кампании является то, что для активации вредоноса не требуется макрос. Помимо этого, программа может избегать решений безопасности, таких как песочницы и антивирусное ПО, путем сокрытия вредоносного контента. Также примечательно отсутствие активного кода в первичном вредоносном документе, поскольку данная атака основана на загрузке удаленного вредоносного объекта.

Злоумышленники используют новый многоступенчатый метод заражения. Первым этапом атаки является рассылка фишинговых писем с прикрепленным файлом .docx, использующим Framesets (теги HTML, ответственные за загрузку документов). Если жертва открывает вредоносный документ, Microsoft Word делает HTTP-запрос для загрузки объекта, на который указывает скрытый URL-адрес, и отображает его в документе.

При просмотре в режиме редактирования (а не в защищенном, установленном по умолчанию), внедренный тег указывает на сокращенный URL, определенный в файле webSettings.xml.rels документа. URL указывает на расположенные во Франции и США C&C-серверы, с которых загружается вредоносный RTF-файл.

«Когда открыт документ RTF со встроенным объектом, данный объект автоматически переносится в папку %TEMP% в Windows. Подобный метод также использовался членами хакерской группировки Cobalt», — отметили специалисты.

Как выяснили исследователи, в новых атаках злоумышленники эксплуатируют уязвимость CVE-2017-8570, позволяющую удаленно выполнить код в Microsoft Office.

«Когда файл .sct выполняется, большой объем данных записывается в каталог %TEMP% с именем chris101.exe. Затем метод Wscript.Shell.Run () запускает вредоносный исполняемый файл», — добавили эксперты.

Далее вредоносный исполняемый файл обращается C&C-серверам злоумышленников и загружает вредоносное ПО FormBook на целевую систему.

FormBook — вредоносная программа с возможностью регистрации нажатия клавиш, кражи содержимого буфера обмена и извлечения данных из сеансов HTTP. Она также может выполнять команды, поступающие с C&C-серверов. Вредоносное ПО можно настроить на загрузку и выполнение файлов, запуск процессов, завершение работы и перезагрузку системы, а также хищение файлов cookie и локальных паролей.

Поделиться этим постом

Back to Blog