Malspam chiến dịch sử dụng tập tin Microsoft nhà xuất bản để tấn công ngân hàng

Computer Security News

Chuyên gia bảo mật Trustwave đã đăng ký một bất thường malspam chiến dịch tấn công các ngân hàng với các FlawedAmmyy RAT.

Điều thú vị về chiến dịch này là việc sử dụng các tập tin Microsoft Office Publisher để lây nhiễm máy tính của nạn nhân.

Các nhà nghiên cứu an ninh đăng ký một bước nhảy lớn trong số các email có chứa một tập tin Microsoft Office Publisher (một tập tin đính kèm .pub) và dòng tiêu đề, “Tư vấn thanh toán,” mà đã được gửi đến lĩnh vực ngân hàng.

Mặc dù thực tế rằng chiến dịch malspam này không phải là lớn ở tất cả, nó là tập trung mạnh mẽ vào ngân hàng.

Phân phối thư rác thư chứa URL mà tải về trojan backdoor nổi tiếng FlawedAmmyy (RAT).

Theo các chuyên gia, các chiến dịch được cung cấp bởi Necurs botnet.

“Chiến dịch này là không bình thường trong việc sử dụng các tập tin .pub. Nó cũng xuất hiện để có nguồn gốc từ Necurs botnet, một botnet khét tiếng chịu trách nhiệm cho nhiều phân phối hàng loạt các phần mềm độc hại trong quá khứ,” Trustwave phân tích kỳ.

“Không giống như trước hàng loạt các chiến dịch, chiến dịch này là nhỏ, và điều thú vị, tất cả các trường đến: địa chỉ, chúng tôi thấy được nhắm mục tiêu là thuộc về ngân hàng, cho thấy một mong muốn cho những kẻ tấn công để có được một chỗ đứng vững chắc trong các ngân hàng với các FlawedAmmyy RAT các tên miền.”

Ngay sau khi nạn nhân mở tập tin pub, họ được yêu cầu để “Sử Macros,” các phiên bản trước của Microsoft Publisher có thể hiển thị hướng dẫn để “Sử chỉnh sửa” và “sử nội dung”.

Sau khi tự mở Visual Basic Editor (VBA Editor) trong Microsoft Publisher và nhấp vào “ThisDocument” trong dự án Explorer, VBScript là thực hiện một kho lưu trữ hỗ có chứa các con chuột.

“Kịch bản vĩ mô được kích hoạt với các chức năng Document_Open(). Như tên ngụ ý, khi các tập tin được mở ra, các kịch bản sẽ truy cập vào URL và thực thi một tập tin đã tải về.” Các nhà nghiên cứu phân tích đọc.

URL được lưu trữ trong thẻ tài sản, và thúc đẩy mã độc hại kiểm soát các đối tượng trong các hình thức để ẩn URL mà từ đó nó tải về các con chuột.

“Bởi thời gian chúng tôi kiểm tra mẫu, URL đã được truy cập không nữa, nhưng nghiên cứu thêm một chút chỉ định URL này được sử dụng để tải về một kho lưu trữ self-extracting, mà chứa các FlawedAmmyy RAT,” các chuyên gia nói.

Tháng trước, các nhà nghiên cứu Proofpoint đăng ký một chiến dịch lớn malspam phân phối các FlawedAmmyy RAT đó tận dụng email với các tài liệu PDF hỗ có chứa tập tin SettingContent-ms độc hại.

Chiến dịch ngày là do nhóm tài chính thúc đẩy cybercriminal TA505.


Leave a Reply

Your email address will not be published. Required fields are marked *