Новое вредоносное ПО использует Microsoft Word для стеганографии

Сообщается, что хакеры использовали стеганографию для атак сотен компаний с помощью инфостилеров, троянов удаленного доступа (RAT) и многого другого.

Новое вредоносное ПО использует Microsoft Word для стеганографии. Фото: СС0

Кампания, получившая название SteganoArmor, была обнаружена исследователями из Positive Technologies.

Стеганография - это метод сокрытия данных внутри безопасных файлов. Хакеры используют его, чтобы скрыть вредоносное ПО в JPG и подобных файлах и таким образом обойти решения по обеспечению безопасности электронной почты.

По мнению исследователей, злоумышленник, получивший название TA558, разослал сотни фишинговых писем, в которых отправил файлы Microsoft Word и Excel.

В атаке используется уязвимость семилетней давности CVE-2017-1182. Чтобы свести к минимуму вероятность того, что электронные письма будут перехвачены решениями по обеспечению безопасности электронной почты, они отправлялись со скомпрометированных SMTP-серверов.

Если жертва запустит файлы, она загрузит сценарий Visual Basic (VBS) из законного сервиса «вставить при открытии файла file.ee». Этот скрипт загрузит файл JPG, содержащий полезную нагрузку в кодировке Base64. Эта полезная нагрузка в конечном итоге приведет к загрузке и установке нескольких вариантов зловредов. В их числе AgentTesla, FormBook, Remcos, LokiBot, Guloader, Snake Keylogger и XWorm.

Большинство из них являются шпионами, есть несколько RAT и загрузчиков второго уровня. Исследователи добавили, что, на данный момент обнаружено более 320 атак.

Startpack подготовил список продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.

Статьи по теме