By | August 22, 2018

מומחי אבטחה Trustwave רשומים מסע יוצא דופן malspam לתקוף בנקים עם FlawedAmmyy RAT.

מה שמעניין על הקמפיין הזה הוא השימוש של קבצי Microsoft Office Publisher כדי להדביק המחשבים של הקורבנות.

החוקרים האבטחה רשום קפיצה עצומה במספר מיילים מכיל קובץ Microsoft Office Publisher (קובץ מצורף. pub) ואת שורת הנושא, “תשלום ייעוץ,” אשר נשלחה לתחומים הבנק.

למרות העובדה כי הקמפיין malspam הזה אינו גדול בכלל, מאוד ממוקד בנקים.

הודעות דואר זבל מבוזרת להכיל כתובות ה-Url להוריד טרויאני “דלת אחורית” ידוע FlawedAmmyy (עכברים).

לפי המומחים, הקמפיין היה מופעל על ידי botnet Necurs.

“הקמפיין הזה היה יוצא דופן בשימוש של קבצי. pub. זה הופיע גם מקורן botnet Necurs, botnet הידוע לשמצה אחראי הפצה המונית תוכנות זדוניות הרבה בעבר,” הברית ניתוח Trustwave.

“בניגוד מאסיבית הקודם, הקמפיין הזה היה קטן, מעניין, כל אל: כתובות ראינו ממוקד היו תחומים השייכים בנקים, המציינת את רצון התוקפים להשיג דריסת רגל בתוך בנקים עם FlawedAmmyy RAT.”

ברגע הקורבנות לפתוח את הקובץ פאב, הם מתבקשים כדי “הפוך פקודות מאקרו לזמינות,” גירסאות מוקדמות יותר של Microsoft Publisher עשויים להציג הוראות כדי לאפשר עריכת”ו-“לאפשר תוכן”.

לאחר פתיחה ידנית את Visual Basic Editor (עורך VBA) ב- Microsoft Publisher ולאחר לחיצה על “ThisDocument” ב- Project Explorer, ביצוע VBScript ארכיון שהוסבה לכלי נשק המכיל את החולדה.

“התסריט מאקרו מופעלת באמצעות הפונקציה Document_Open(). כפי שרומז השם, בעת פתיחת הקובץ, התסריט לגשת כתובת URL ובצע קובץ שהורד.” ניתוח החוקרים קורא.

כתובת ה-URL מאוחסן במאפיין תג, הקוד הזדוני ממנף את הבקרה אובייקטים בצורות כדי להסתיר את כתובת ה-URL שממנה זה מוריד את החולדה.

“בדקנו את הדגימה, כתובת ה-URL היה לא נגיש יותר, אך בהמשך המחקר ציין שכתובת URL זו שימש להורדת ארכיון לחילוץ עצמי, אשר הכיל את FlawedAmmyy RAT,” הצהיר המומחים.

בחודש שעבר, החוקרים Proofpoint רשום עוד קמפיין ענק malspam להפיץ את FlawedAmmyy RAT זה היה מינוף מיילים עם מסמכי PDF שהוסבה לכלי נשק המכיל קבצים זדוניים SettingContent-ms.

הקמפיין ביולי יוחס הקבוצה מוטיבציה כלכלית cybercriminal TA505.

Leave a Reply

Your email address will not be published. Required fields are marked *