SafeUM
Home Блог Услуги Скачать Помощь О нас Пополнить
EN
RU

Axarhöfði 14, 110 Reykjavik, Iceland

Iceland - 2015
SafeUM
Блог
Услуги
Скачать
Помощь
О нас
Пополнить
Меню
RU
Язык
EN
RU
Архив
TOP Security!
5 Фев 2016

Бот Kasidet загружается через макросы Office

Много раз уже было доказано, что злоумышленники возродили свой интерес к макросам Microsoft Office и активно используют их для доставки банковских зловредов, а последнее время и BlackEnergy.

Недавно исследователи из калифорнийской компании zScaler обнаружили, что этот же вектор используют распространители бота Kasidet, известного также как Neutrino.

Вредоносные документы Office раздаются в виде вложений в целевые (spear-phishing) письма; согласно наблюдениям zScaler, этот малотиражный спам стал особенно агрессивным за последние пару недель. Примечательно, что, кроме Kasidet, тот же VBA-дроппер загружает банкера Dridex. Зловред Kasidet известен с 2013 года и до недавнего времени использовался преимущественно для проведения DDoS-атак. Наблюдаемый zScaler вариант обладает более широким функционалом, в том числе функциями кражи данных. При этом он способен воровать конфиденциальную информацию как из браузеров – перехватом API, так и из памяти PoS-систем (соответствующий модуль был, по слухам, добавлен в сентябре прошлого года).

Примечательно, что имена браузеров: Firefox, Chrome, IE – хранятся в коде зловреда в шифрованном виде, с использованием той же хэш-функции, которую ранее применял с той же целью Carberp. Новый Kasidet также умеет отслеживать использование аналитических средств – отладчиков, песочниц, виртуальных машин. Всю краденую информацию, как и сведения о зараженной системе, бот отправляет на C&C-серверы, список которых вшит в код в виде зашифрованных URL.

Представляя результаты анализа, исследователи отмечают, что совместная загрузка Kasidet и Dridex вовсе не означает, что обе кампании взаимосвязаны. «Вредоносные файлы Malicious Office – популярный у вирусописателей вектор доставки полезной нагрузки, – пишут исследователи в своем отчете. – Авторы Dridex используют эту технику уже более года. Интересно было обнаружить, что такая же кампания, с теми же URL используется для доставки Kasidet».

Распространители Dridex взяли на вооружение макросы Office в конце 2014 года и вначале использовали формат Excel, а в затем перешли на XML. В октябре Invincea отметила новый всплеск активности Dridex на территории Франции, а в начале прошлого месяца исследователи из IBM обнаружили новую версию банкера, нацеленную на британские банки.

Для доставки троянца во всех случаях использовались макросы, хотя они по умолчанию давно отключены, и злоумышленникам приходится провоцировать пользователя на активацию макросов вручную. По всей видимости, этот вектор доставки вредоносного ПО до сих пор весьма эффективен.

Теги:
утечка информации
Источник:
Threatpost
1446
ДРУГИЕ НОВОСТИ
3 Июль 2020 safeum news imgage Полиция произвела множество арестов, взломав защищённый мессенджер
4 Май 2020 safeum news imgage Европол сообщил об аресте членов польской хак-группы Infinity Black
12 Дек 2019 safeum news imgage Шифрование под угрозой. Как это отразится на нас
4 Ноя 2019 safeum news imgage Должны ли важные решения приниматься на основании лишь фактов, или интуиция имеет право на жизнь?
7 Июнь 2018 safeum news imgage Ворующий данные вирус для роутеров умеет обходить шифрование
4 Июнь 2018 safeum news imgage Мошенники атакуют пользователей сервиса Booking.com
1 Июнь 2018 safeum news imgage Оператор крупнейшей точки обмена трафиком подал в суд на немецкую спецслужбу
30 Май 2018 safeum news imgage ФБР выявило два инструмента северокорейских кибершпионов
29 Май 2018 safeum news imgage Новый закон позволил европейцам требовать миллиарды у Google и Facebook
25 Май 2018 safeum news imgage Предустановленное вредоносное ПО обнаружили на сотнях моделей смартфонов
24 Май 2018 safeum news imgage GPS-трекеры для домашних животных позволяют следить за их хозяевами
23 Май 2018 safeum news imgage К Google подали иск из-за слежки за пользователями iPhone
21 Май 2018 safeum news imgage Данные о местоположении всех смартфонов в США оказались в открытом доступе
18 Май 2018 safeum news imgage Власти США запустили фальшивое ICO
17 Май 2018 safeum news imgage Хакеры похитили сотни миллионов у банков Мексики
Все новости
SafeUM
Конфиденциальность Правила использования Наши технологии О компании
Контакты
Скачать
SafeUM © Безопасный универсальный мессенджер

Axarhöfði 14,
110 Reykjavik, Iceland

Iceland - 2015