SOS :: Security Operation Space
29 марта, пятница, 00:00
|
Hot News:

LCG Kit: создатель фальшивок, поддерживающий макросы

14 декабря 2018 г., пятница, 15:57

Новый компоновщик документов MS Office активно используется для распространения зловредов по email-каналам.

Эксперты Proofpoint поделились результатами анализа компоновщика документов Microsoft Office, активно используемого для распространения вредоносного ПО по email-каналам. Поскольку создаваемые с его помощью вложения засветились в ряде спам-кампаний, аналитики предположили, что новинка продается или сдается в аренду на подпольных форумах.

Первые признаки существования билдера, схожего с ThreadKit, исследователи обнаружили в марте этого года. На тот момент LCG Kit, как его нарекли в Proofpoint, располагал лишь эксплойтом CVE-2017-11882 — для бреши в редакторе формул, которую Microsoft закрыла в ноябре прошлого года. Позднее функциональность Equation Editor сторонней разработки была удалена из набора MS Office.

В конце сентября создатели тулкита добавили в него эксплойт к уязвимости CVE-2018-8174 в движке VBScript. Эксперты зафиксировали несколько вредоносных рассылок, использующих вложения Microsoft Excel, созданные с помощью LCG Kit. При открытии такого документа на ПК загружался html-файл с VBScript, нацеленный на эксплуатацию CVE-2018-8174. В случае успеха на компьютер заселялся похититель информации Agent Tesla.

К декабрю в арсенале LCG Kit появились также макросы — видимо, из-за сокращения числа Windows-машин, пригодных для эксплойта. По данным Proofpoint, злоумышленники провели как минимум одну рассылку документов Microsoft Word с вредоносным макросом. Ее целью являлся засев другого зловреда, способного эффективно воровать данные, — Loki Bot.

Помимо Word и Excel компоновщик обеспечивает создание документов форматах .rtf и .pdf (в последнем случае — с JavaScript-кодом, загружающим встроенный документ RTF с эксплойтом).

Код LCG Kit, как показал анализ, сильно обфусцирован. Загружаемый в память шелл-код, отвечающий за установку полезной нагрузки, оказался полиморфным, к тому же для шифрования его на финальной стадии вирусописатели используют генератор псевдослучайных чисел, работающий на основе линейного конгруэнтного метода (LCG). Изменения привносятся в код на лету, в результате сигнатуры образцов не совпадают, что затрудняет идентификацию.

Загрузка и исполнение полезной нагрузки производятся с использованием API-интерфейсов Windows, но каждый вариант шелл-кода использует свою группу API.

Судя по всему, LCG Kit используют в основном небольшие криминальные группы, распространяющие различные RAT-трояны и программы для кражи информации — Loki Bot, FormBook, Agent Tesla, Remcos, AZORult, Revcode RAT, Quasar RAT. Их спам-рассылки имеют массовый характер и могут насчитывать тысячи вредоносных писем. Об одной из таких кампаний в октябре рассказали эксперты Cisco Talos.

Ваш голос учтён!
нравится
не нравится Рейтинг:
0
Всего голосов: 0
Комментарии

Добавить комментарий к новости

Ваше имя: *
Сообщение: *
Нет комментариев
19:45
17:45
14:45
12:45
11:45
09:45
09:45
19:45
18:45
16:45
15:45
14:45
13:45
10:45
10:45
09:45
19:45
19:45


© 2013—2024 SOS :: Security Operation Space (Пространство Операций Безопасности)  // AMS  // Обратная связь  | 0.064
Использование любых материалов, размещённых на сайте, разрешается при условии ссылки на sos.net.ua.