Trustwave виявив нову шкідливу кампанію, під час якої зловмисники атакують банки трояном для віддаленого доступу FlawedAmmyy

Дослідники безпеки з компанії Trustwave виявили нову шкідливу кампанію, під час якої зловмисники атакують банки трояном для віддаленого доступу FlawedAmmyy. Особливістю цієї кампанії є незвичайне використання файлів Microsoft Office Publisher для інфікування систем жертви.

Експерти помітили аномальний сплеск кількості електронних листів із вкладеннями у форматі .pub та темою «Рада з платежів». Листи були надіслані на домени, що належать різним банкам.

У спамових повідомленнях містяться URL, при переході по яких завантажується троян для віддаленого доступу FlawedAmmyy. Ще одним цікавим аспектом кампанії є використання ботнету Necurs.

«Дана кампанія була незвичайною щодо використання .pub-файлів. Схоже, що розсилка здійснювалася за допомогою ботнета Necurs, відповідального за масове поширення шкідливих програм у минулому», - випливає зі звіту.

Коли жертви відкривають файл .pub, їм пропонується «Включити макроси», попередні версії Microsoft Publisher можуть відображати інструкції «Включити редагування» та «Включити контент».

При відкритті редактора Visual Basic (редактор VBA) у Microsoft Publisher та натисканні ThisDocument у Project Explorer VBScript запускає архів, що містить троян.

«Сценарій макросу запускається за допомогою функції Document_Open(). Коли файл відкривається, скрипт звертатиметься до URL-адреси і виконуватиме завантажений файл», - зазначили фахівці.

Інші новини