Вредоносная кампания, действующая в течение как минимум двух месяцев через электронную почту, нацелена на русскоязычные предприятия и распространяет новый Windows-бэкдор, предупреждает Trend Micro.
В этих атаках используются множество эксплойтов и компонентов Windows для запуска вредоносных скриптов. Самый ранний образец вредоносной программы, связанный с атакой, был загружен на VirusTotal 6 июня 2017 года, далее Trend Micro наблюдала пять случаев рассылки спама с 23 июня по 27 июля 2017 года. Эксперты предполагают, что кампания продолжается.
Целью этих атак являются финансовые учреждения (такие как банки) и горнодобывающие фирмы. Исследователи Trend Micro заметили, что злоумышленники разнообразили свою тактику, отправив разные электронные письма для каждого этапа вредоносной кампании.
Письма выглядят так, как если бы они пришли из отдела продаж, в них содержится вредоносный файл RTF, который использует уязвимость CVE-2017-0199 в OLE-интерфейсе. Эту брешь также используют такие хакерские группы, как Cobalt и CopyKittens.
После выполнения кода эксплойта загружается поддельный файл XLS, в который встроен вредоносный JavaScript. При открытии заголовок Excel игнорируется, и файл обрабатывается как HTML компонентом Windows mshta.exe.
Код JavaScript вызывает стандартный исполняемый файл odbcconf.exe, который активирует различные задачи, связанные с компонентами доступа к данным Microsoft, для запуска библиотеки DLL. После выполнения DLL копирует файл в папку %APPDATA% и добавляет к нему расширение .txt, хотя на самом деле это файл SCT (скрипт Windows), обычно используемый для объявления переменных и добавления функциональных кодов на веб-страницах. Этот файл упакован с вредоносным, обфусцированным JavaScript.
Также DLL-файл вызывает утилиту командной строки Regsvr32 (Microsoft Register Server) для выполнения с определенными параметрами. Этот метод получил название Squiblydoo, он использует Regsvr32 для того, чтобы обойти ограничения на запуск скриптов. Ранее его использовала вьетнамская хакерская группировка APT32.
«Несмотря на то, что метод Squiblydoo является далеко не новым вектором для атаки, мы впервые наблюдали за его применением вместе с odbcconf.exe» - Trend Micro.
Следующим этапом загружается и выполняется еще один вредоносный XML-файл с домена wecloud[.]biz. Это основной бэкдор, используемый в этой атаке.
Этот бэкдор представляет собой файл SCT с обфусцированным кодом JavaScript внутри, он поддерживает команды, которые, по сути, позволяют злоумышленникам завладеть зараженной системой. Бэкдор пытается подключиться к командному серверу hxxps://wecloud[.]biz/mail/ajax[.]php и получить инструкции.
На основе полученных команд зловред может загружать и выполнять исполняемые файлы и совершать другие вредоносные действия.
Основатель Telegram Павел Дуров сообщил, что французские власти выдвинули против него «более дюжины обвинений». По его словам, по каждому из этих пунктов ему может грозить не менее 10 лет лишения свободы. Об этом он написал, комментируя решение Министерства юстиции США, которое отказало французским властям в содействии по расследованию против принадлежащей Илону Маску соцсети X.
«Я нахожусь под <...> расследованием во Франции: более дюжины обвинений, каждое из которых предусматривает до 10 лет тюремного заключения», – сообщил Павел Дуров в личном телеграм-канале.
В феврале 2026 года прокуратура Парижа провела обыски в офисах X. Расследование касалось алгоритмов, используемых соцсетью, а также жалоб на чат-бота Grok. Кроме того, парижская прокуратура вызвала на допрос Илона Маска и бывшего генерального директора соцсети Линду Яккарино. Допрос назначен на 20 апреля.
Павел Дуров был арестован французскими властями в августе 2025 года. Тогда его обвиняли в причастности к терроризму, распространении детской порнографии и наркоторговле.
Уже в сентябре 2024 года политика мессенджера в части сотрудничества с правоохранительными органами была пересмотрена. К середине декабря Telegram удалил более 15 млн групп и каналов, нарушавших законодательство разных стран.
Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017 Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.
