Microsoft Publisher оснастили трояном атакующим банки, - исследование

Письма с темой «Совет по платежам» могут быть заражены

Эксперты по ИТ-безопасности обнаружили новую вредоносную кампанию, в ходе которой злоумышленники атакуют банки трояном для удаленного доступа FlawedAmmyy, — говорится в отчете компании Trustwave.

Отличительной особенностью данной кампании является необычное использование файлов Microsoft Office Publisher для инфицирования систем жертвы.

Эксперты заметили аномальный всплеск количества электронных писем с вложениями в формате .pub и темой «Совет по платежам». Письма были отправлены на принадлежащие различным банкам домены.

В спамовых сообщениях содержатся URL, при переходе по которым загружается троян для удаленного доступа FlawedAmmyy. Еще одним интересным аспектом кампании является использование ботнета Necurs.

«Данная кампания была необычной в плане использования .pub-файлов. Похоже, что рассылка осуществлялась с помощью ботнета Necurs, ответственного за массовое распространение вредоносных программ в прошлом», — следует из отчета.

Когда жертвы открывают файл .pub, им предлагается «Включить макросы», более ранние версии Microsoft Publisher могут отображать инструкции «Включить редактирование» и «Включить контент».

При открытии редактора Visual Basic (редактор VBA) в Microsoft Publisher и нажатии «ThisDocument» в Project Explorer VBScript запускает архив, содержащий троян.

«Сценарий макроса запускается с помощью функции Document_Open (). Когда файл открывается, скрипт будет обращаться к URL-адресу и выполнять загруженный файл», — отметили специалисты.

*

Top