Microsoft Publisher оснастили трояном, що атакує банки, — дослідження
Експерти з ІТ-безпеки виявили нову шкідливу кампанію, в ході якої зловмисники атакують банки трояном для віддаленого доступу FlawedAmmyy, — йдеться у звіті компанії Trustwave.
Відмінною особливістю цієї кампанії є незвичайне використання файлів Microsoft Office Publisher для інфікування систем жертви.
Експерти помітили аномальний сплеск кількості електронних листів з вкладеннями в форматі .pub та темою «Порада щодо платежів». Листи були відправлені на домени, які належать різним банкам.
В спамових повідомленнях містяться URL, при переході за яким завантажується троян для віддаленого доступу FlawedAmmyy. Ще одним цікавим аспектом кампанії є використання ботнету Necurs.
«Ця кампанія була незвичайною в плані використання .pub-файлів. Схоже, що розсилка здійснювалася за допомогою ботнету Necurs, відповідального за масове поширення шкідливих програм в минулому», — випливає зі звіту.
Коли жертви відкривають файл .pub, їм пропонується «Включити макроси», більш ранні версії Microsoft Publisher можуть відображати інструкції «Увімкнути редагування» і «Увімкнути контент».
При відкритті редактора Visual Basic редактор VBA в Microsoft Publisher та натисканні «ThisDocument» Project Explorer VBScript запускає архів, що містить троян.
«Сценарій макроса запускається за допомогою функції Document_Open (). Коли файл відкривається, скрипт буде звертатися до URL-адреси і виконувати завантажений файл», — відзначили фахівці.
За матеріалами: Hubs
Поділитися новиною