Malspam kempen menggunakan fail Microsoft penerbit untuk serangan Bank

Computer Security News

Pakar Keselamatan Trustwave telah mendaftarkan kempen malspam yang biasa menyerang Bank tersebut FlawedAmmyy RAT.

Apa yang menarik tentang kempen ini ialah penggunaan fail Microsoft pejabat penerbit untuk menjangkiti komputer mangsa.

Penyelidik Keselamatan mencatatkan kenaikan besar dalam jumlah e-mel yang mengandungi fail Microsoft pejabat penerbit (.pub attachment) dan baris subjek, “Slip pembayaran,” yang dihantar kepada domain bank.

Walaupun pada hakikatnya bahawa kempen malspam ini bukanlah besar sekali, ia adalah amat tertumpu kepada Bank.

Mesej-mesej spam diedarkan mengandungi URL yang memuat turun trojan backdoor terkenal itu FlawedAmmyy (TIKUS).

Menurut pakar, kempen ini digerakkan oleh Necurs botnet.

“Kempen ini adalah luar biasa dalam penggunaan .pub fail. Ia juga kelihatan seperti berasal dari Necurs botnet, botnet yang terkenal yang bertanggungjawab ke atas pengedaran perisian berniat jahat besar-besaran banyak dahulu,” Syarikat analisis Trustwave.

“Tidak seperti sebelumnya kempen besar-besaran, kempen ini adalah kecil dan, Menariknya, Semua kepada: alamat kita melihat yang disasarkan adalah domain yang dimiliki oleh Bank-Bank, menunjukkan keinginan untuk penyerang untuk mendapatkan tempat dalam Bank di FlawedAmmyy RAT.”

Sebaik sahaja mangsa membuka fail pub, mereka diminta untuk “Membolehkan makro,” versi terdahulu Microsoft Publisher mungkin memaparkan arahan untuk “Membolehkan menyunting” dan “Membolehkan kandungan”.

Selepas pembukaan Editor Visual Basic (VBA Editor) secara manual di Microsoft Publisher dan klik “ThisDocument” dalam projek Explorer, VBAScript dalam melaksanakan Arkib weaponized yang mengandungi TIKUS.

“Skrip makro dicetuskan dengan bahagian Document_Open(). Seperti namanya, apabila fail itu dibuka, skrip akan mengakses URL dan melaksanakan satu file yang didownload.” Analisis penyelidik dalam membaca.

URL disimpan dalam harta Tag, dan kod berbahaya memanfaatkan kawalan objek-objek dalam borang-borang untuk menyembunyikan URL yang ia muat turun TIKUS.

“Pada masa yang kami diperiksa sampel, URL adalah tidak boleh diakses lagi, tetapi sedikit lebih kajian menunjukkan URL ini telah digunakan untuk memuat turun satu Arkib sendiri extracting, yang mengandungi FlawedAmmyy RAT,” pakar-pakar menyatakan.

Bulan lepas, penyelidik Proofpoint mencatatkan satu lagi kempen malspam besar yang mengedarkan FlawedAmmyy RAT yang telah memanfaatkan e-mel dengan weaponized dokumen PDF yang mengandungi fail-fail SettingContent-ms yang berniat jahat.

Kempen bulan Julai adalah disebabkan oleh Kumpulan kewangan bermotivasi cybercriminal TA505.


Leave a Reply

Your email address will not be published. Required fields are marked *