Антивирусная бражка ESET доложила о всплеске активности группы киберпреступников Gamaredon, какие рассылали жертвам документы с вредоносными макросами, при выполнении каких вероятна загрузка неодинаковых обликов малвари. Таковая схема распространения нежелательного ПО встречается будет жидко.
Gamaredon использует пакет, какой вводит кастомный проект Microsoft Outlook Visual Basic for Applications(VBA). Злоумышленники с поддержкой VBScript завершают процессы в Outlook, меняют значения реестра и отключают безобидное выполнение макроса VBA. На диске сохраняется вредоносный ОТМ(Outlook VBA project)файл, включающий макрос, вредоносное e-mail вложение и, в ряде случаев, список контактов, каким должны быть высланы извещения.
Дальше Outlook перезапускается со особенной опцией /altvba, какая загружает VBA-проект Gamaredon. Вредоносный код выполняется после получения события Application.Startup. Настоящий модуль используется для вытекающих круглее: отправка вредоносного извещения по контактам из адресной книжки жертвы, по всем контактам одной организации или по заблаговременно заданному списку получателей. Извещения двигают на русском и английском языках, однако изначально у группы были проблемы с кодировкой.
Кроме того, с поддержкой новоиспеченных инструментов злоумышленники добавляют вредоносные макросы или ссылки на высланные стандарты в бытующие документы штурмованной системы. Это эффективный способ распространения малвари в корпоративной сети братии, поскольку файлы, будто правило, циркулируют в системе и переходят между коллегами. Благодаря особенной функции, какая позволяет менять настройки безопасности макросов Microsoft Office, зараженные пользователи не думают, что они подвергают риску свои работники станции всякий один при открытии документов.
Gamaderon использует бэкдоры и программы для похищения файлов с мишенью идентификации и сбора конфиденциальных документов в зараженной системе и загрузки их на C&C-сервер. Малварь для похищения документов также способна выполнять команды с высланного сервера.
<- В «М.Видео» консультантов подключили к видеосвязи