Cofense обнаружила, что злоумышленники заражают компьютеры на базе Windows используя поддельные резюме
Cofense обнаружила, что злоумышленники заражают компьютеры на базе Windows используя поддельные резюме
Специалисты компании Cofense обнаружили новую фишинговую операцию, в рамках которой злоумышленники заражают компьютеры на базе Windows инструментом для удаленного администрирования (RAT) Quasar, используя поддельные резюме.
В то время как фальшивые резюме и другие типы документов являются довольно распространенным методом доставки вредоносного ПО, одна из особенностей новой кампании заключается в использовании нескольких методов, усложняющих проведение анализа векторов заражения.
Quasar – известный открытый инструмент, разработанный на языке C#, который ранее неоднократно был замечен в операциях различных хакерских группировок, например, APT33, APT10, Dropping Elephant, Stone Panda или The Gorgon Group. Функционал программы включает возможность удаленного подключения к рабочему столу, записи нажатий на клавиатуре и кражи паролей жертв, загрузки и эксфильтрации файлов, управления процессами на зараженном устройстве, а также возможность съемки скриншотов и записи с web-камер.
В рамках новой фишинговой кампании злоумышленники под видом резюме распространяют защищенные паролем документы Microsoft Word. После ввода пароля «123», указанного в фишинговом сообщении, документ запрашивает активацию макроса. Однако в отличие от других подобных атак в данном случае макрос содержит «мусорный» код, закодированный в base64, призванный вывести из строя аналитические инструменты, установленные на компьютере.
«При успешном запуске макроса на экране отобразится ряд изображений, якобы загружающих контент, но одновременно с этим добавляющих «мусорную» строку в содержимое документа. Далее отобразится сообщение об ошибке, но в то же время в фоновом режиме на компьютер загрузится и запустится вредоносный исполняемый файл», - пояснили эксперты.
Заражение программой Quasar происходит через самораспаковывающийся исполняемый файл размером 401 МБ, загружаемый с подконтрольного злоумышленникам сервера. Большой размер архива усложняет задачу анализа вредоносного ПО, отмечают исследователи.
