Malspam kampanii wykorzystuje pliki programu Microsoft Publisher do ataku banków

Computer Security News

Eksperci bezpieczeństwa Trustwave zarejestrowanych kampanię nietypowe malspam atakuje banków z FlawedAmmyy RAT.

Co ciekawe o tej kampanii jest użycie plików Microsoft Office Publisher do infekowania komputerów ofiar.

Naukowcy bezpieczeństwa zarejestrowany ogromny skok w liczbę wiadomości e-mail zawierających plik programu Microsoft Office Publisher (.pub załącznik) i wiersz tematu, “Doradztwa płatności”, które wysłano do banku domen.

Pomimo faktu, że ta kampania malspam nie jest wielki w ogóle to zdecydowanie skupia się na banki.

Rozproszonych spamu zawierać adresów URL, które dobrze znany trojan backdoor, Pobierz FlawedAmmyy (RAT).

Zdaniem ekspertów kampanii był zasilany Necurs botnet.

“Tej kampanii było niezwykłe w użycie plików .pub. Okazało się również pochodzi z Necurs botnet, notorycznie botnet odpowiedzialny za dużo masy złośliwego oprogramowania dystrybucji w przeszłości,” Państwa analizę Trustwave.

“W przeciwieństwie do poprzednich masowych kampanii, tej kampanii był mały i, co ciekawe, wszystkie To: adresy widzieliśmy kierowane były domeny należące do banków, wskazując pragnienie atakujących na przyczółek w bankach z FlawedAmmyy RAT.”

Jak tylko ofiar otworzyć plik pub, zachęcane są do “Włącz makra” wcześniejszych wersji programu Microsoft Publisher może wyświetlić instrukcje “Włącz edytowanie” i “Włącz zawartość”.

Po ręcznym otwieraniu programu Visual Basic Editor (Edytor VBA) w programie Microsoft Publisher i klikając “ThisDocument” w Eksplorator projektu VBScript wykonuje weaponized archiwum, który zawiera szczur.

“Skrypt makro jest wyzwalany z funkcją Document_Open(). Jak sama nazwa wskazuje, kiedy plik jest otwarty, skrypt zostanie dostęp do adresu URL i uruchom pobrany plik.” naukowców analiza odczytów.

Adres URL jest przechowywany w Tag właściwość, i złośliwy kod wykorzystuje sterowanie obiektami w formy, aby ukryć adres URL, z którego pobiera on szczur.

“Do czasu, możemy zbadać próbki, adres URL nie jest dostępny był już, ale nieco dalej badania wykazały, że ten adres URL został użyty do pobrania archiwum samorozpakowujące, który zawierał FlawedAmmyy RAT,” stwierdził ekspertów.

W ubiegłym miesiącu naukowcy usługi Proofpoint zarejestrowany innej kampanii ogromny malspam dystrybucji FlawedAmmyy RAT który był wykorzystaniu e-maile z weaponized dokumenty PDF zawierające szkodliwe pliki SettingContent-ms.

Kampanii lipca został przypisany do grupy zmotywowane przestępcy TA505.


Leave a Reply

Your email address will not be published. Required fields are marked *