Много раз уже было доказано, что злоумышленники возродили свой интерес к макросам Microsoft Office и активно используют их для доставки банковских зловредов, а последнее время и BlackEnergy.
Недавно исследователи из калифорнийской компании zScaler обнаружили, что этот же вектор используют распространители бота Kasidet, известного также как Neutrino.
Вредоносные документы Office раздаются в виде вложений в целевые (spear-phishing) письма; согласно наблюдениям zScaler, этот малотиражный спам стал особенно агрессивным за последние пару недель. Примечательно, что, кроме Kasidet, тот же VBA-дроппер загружает банкера Dridex. Зловред Kasidet известен с 2013 года и до недавнего времени использовался преимущественно для проведения DDoS-атак. Наблюдаемый zScaler вариант обладает более широким функционалом, в том числе функциями кражи данных. При этом он способен воровать конфиденциальную информацию как из браузеров – перехватом API, так и из памяти PoS-систем (соответствующий модуль был, по слухам, добавлен в сентябре прошлого года).
Примечательно, что имена браузеров: Firefox, Chrome, IE – хранятся в коде зловреда в шифрованном виде, с использованием той же хэш-функции, которую ранее применял с той же целью Carberp. Новый Kasidet также умеет отслеживать использование аналитических средств – отладчиков, песочниц, виртуальных машин. Всю краденую информацию, как и сведения о зараженной системе, бот отправляет на C&C-серверы, список которых вшит в код в виде зашифрованных URL.
Представляя результаты анализа, исследователи отмечают, что совместная загрузка Kasidet и Dridex вовсе не означает, что обе кампании взаимосвязаны. «Вредоносные файлы Malicious Office – популярный у вирусописателей вектор доставки полезной нагрузки, – пишут исследователи в своем отчете. – Авторы Dridex используют эту технику уже более года. Интересно было обнаружить, что такая же кампания, с теми же URL используется для доставки Kasidet».
Распространители Dridex взяли на вооружение макросы Office в конце 2014 года и вначале использовали формат Excel, а в затем перешли на XML. В октябре Invincea отметила новый всплеск активности Dridex на территории Франции, а в начале прошлого месяца исследователи из IBM обнаружили новую версию банкера, нацеленную на британские банки.
Для доставки троянца во всех случаях использовались макросы, хотя они по умолчанию давно отключены, и злоумышленникам приходится провоцировать пользователя на активацию макросов вручную. По всей видимости, этот вектор доставки вредоносного ПО до сих пор весьма эффективен.
