Вредоносная кампания, действующая в течение как минимум двух месяцев через электронную почту, нацелена на русскоязычные предприятия и распространяет новый Windows-бэкдор, предупреждает Trend Micro.
В этих атаках используются множество эксплойтов и компонентов Windows для запуска вредоносных скриптов. Самый ранний образец вредоносной программы, связанный с атакой, был загружен на VirusTotal 6 июня 2017 года, далее Trend Micro наблюдала пять случаев рассылки спама с 23 июня по 27 июля 2017 года. Эксперты предполагают, что кампания продолжается.
Целью этих атак являются финансовые учреждения (такие как банки) и горнодобывающие фирмы. Исследователи Trend Micro заметили, что злоумышленники разнообразили свою тактику, отправив разные электронные письма для каждого этапа вредоносной кампании.
Письма выглядят так, как если бы они пришли из отдела продаж, в них содержится вредоносный файл RTF, который использует уязвимость CVE-2017-0199 в OLE-интерфейсе. Эту брешь также используют такие хакерские группы, как Cobalt и CopyKittens.
После выполнения кода эксплойта загружается поддельный файл XLS, в который встроен вредоносный JavaScript. При открытии заголовок Excel игнорируется, и файл обрабатывается как HTML компонентом Windows mshta.exe.
Код JavaScript вызывает стандартный исполняемый файл odbcconf.exe, который активирует различные задачи, связанные с компонентами доступа к данным Microsoft, для запуска библиотеки DLL. После выполнения DLL копирует файл в папку %APPDATA% и добавляет к нему расширение .txt, хотя на самом деле это файл SCT (скрипт Windows), обычно используемый для объявления переменных и добавления функциональных кодов на веб-страницах. Этот файл упакован с вредоносным, обфусцированным JavaScript.
Также DLL-файл вызывает утилиту командной строки Regsvr32 (Microsoft Register Server) для выполнения с определенными параметрами. Этот метод получил название Squiblydoo, он использует Regsvr32 для того, чтобы обойти ограничения на запуск скриптов. Ранее его использовала вьетнамская хакерская группировка APT32.
«Несмотря на то, что метод Squiblydoo является далеко не новым вектором для атаки, мы впервые наблюдали за его применением вместе с odbcconf.exe» - Trend Micro.
Следующим этапом загружается и выполняется еще один вредоносный XML-файл с домена wecloud[.]biz. Это основной бэкдор, используемый в этой атаке.
Этот бэкдор представляет собой файл SCT с обфусцированным кодом JavaScript внутри, он поддерживает команды, которые, по сути, позволяют злоумышленникам завладеть зараженной системой. Бэкдор пытается подключиться к командному серверу hxxps://wecloud[.]biz/mail/ajax[.]php и получить инструкции.
На основе полученных команд зловред может загружать и выполнять исполняемые файлы и совершать другие вредоносные действия.
Банк России взялся за год создать единый реестр платежных карт с тем, чтобы облегчить кредитно-финансовым организациям соблюдение планируемых к вводу лимитов: до 20 карт у гражданина, до пяти в одном банке.
О намерении ЦБ запустить в будущем году такой справочник для отрасли стало известно из выступления в Думе замглавы Минцифры Ивана Лебедева. С его слов, оба регулятора вместе прорабатывали этот вопрос.
«Вы знаете, что это ограничение по банкам — по картам, — цитирует РИА Новости спикера. — Центральный банк взял на себя обязательство в течение года подготовить базу единую по всей стране, из которой будет видно, сколько у каждого гражданина в каком банке оформлено карт.
Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017 Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.
