Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library |
Новый компоновщик документов MS Office активно используется для распространения зловредов по email-каналам.
Эксперты Proofpoint поделились результатами анализа компоновщика документов Microsoft Office, активно используемого для распространения вредоносного ПО по email-каналам. Поскольку создаваемые с его помощью вложения засветились в ряде спам-кампаний, аналитики предположили, что новинка продается или сдается в аренду на подпольных форумах.
Первые признаки существования билдера, схожего с ThreadKit, исследователи обнаружили в марте этого года. На тот момент LCG Kit, как его нарекли в Proofpoint, располагал лишь эксплойтом CVE-2017-11882 — для бреши в редакторе формул, которую Microsoft закрыла в ноябре прошлого года. Позднее функциональность Equation Editor сторонней разработки была удалена из набора MS Office.
В конце сентября создатели тулкита добавили в него эксплойт к уязвимости CVE-2018-8174 в движке VBScript. Эксперты зафиксировали несколько вредоносных рассылок, использующих вложения Microsoft Excel, созданные с помощью LCG Kit. При открытии такого документа на ПК загружался html-файл с VBScript, нацеленный на эксплуатацию CVE-2018-8174. В случае успеха на компьютер заселялся похититель информации Agent Tesla.
К декабрю в арсенале LCG Kit появились также макросы — видимо, из-за сокращения числа Windows-машин, пригодных для эксплойта. По данным Proofpoint, злоумышленники провели как минимум одну рассылку документов Microsoft Word с вредоносным макросом. Ее целью являлся засев другого зловреда, способного эффективно воровать данные, — Loki Bot.
Помимо Word и Excel компоновщик обеспечивает создание документов форматах .rtf и .pdf (в последнем случае — с JavaScript-кодом, загружающим встроенный документ RTF с эксплойтом).
Код LCG Kit, как показал анализ, сильно обфусцирован. Загружаемый в память шелл-код, отвечающий за установку полезной нагрузки, оказался полиморфным, к тому же для шифрования его на финальной стадии вирусописатели используют генератор псевдослучайных чисел, работающий на основе линейного конгруэнтного метода (LCG). Изменения привносятся в код на лету, в результате сигнатуры образцов не совпадают, что затрудняет идентификацию.
Загрузка и исполнение полезной нагрузки производятся с использованием API-интерфейсов Windows, но каждый вариант шелл-кода использует свою группу API.
Судя по всему, LCG Kit используют в основном небольшие криминальные группы, распространяющие различные RAT-трояны и программы для кражи информации — Loki Bot, FormBook, Agent Tesla, Remcos, AZORult, Revcode RAT, Quasar RAT. Их спам-рассылки имеют массовый характер и могут насчитывать тысячи вредоносных писем. Об одной из таких кампаний в октябре рассказали эксперты Cisco Talos.
19:45 |
||
17:45 |
||
14:45 |
||
12:45 |
||
11:45 |
||
09:45 |
||
09:45 |
||
19:45 |
||
18:45 |
||
16:45 |
||
15:45 |
||
14:45 |
||
13:45 |
||
10:45 |
||
10:45 |
||
09:45 |
||
19:45 |
||
19:45 |
Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library | | | Blogs | | | Links |