Новое вредоносное ПО использует Microsoft Word для стеганографии
Новое вредоносное ПО использует Microsoft Word для стеганографии. Фото: СС0
Кампания, получившая название SteganoArmor, была обнаружена исследователями из Positive Technologies.
Стеганография - это метод сокрытия данных внутри безопасных файлов. Хакеры используют его, чтобы скрыть вредоносное ПО в JPG и подобных файлах и таким образом обойти решения по обеспечению безопасности электронной почты.
По мнению исследователей, злоумышленник, получивший название TA558, разослал сотни фишинговых писем, в которых отправил файлы Microsoft Word и Excel.
В атаке используется уязвимость семилетней давности CVE-2017-1182. Чтобы свести к минимуму вероятность того, что электронные письма будут перехвачены решениями по обеспечению безопасности электронной почты, они отправлялись со скомпрометированных SMTP-серверов.
Если жертва запустит файлы, она загрузит сценарий Visual Basic (VBS) из законного сервиса «вставить при открытии файла file.ee». Этот скрипт загрузит файл JPG, содержащий полезную нагрузку в кодировке Base64. Эта полезная нагрузка в конечном итоге приведет к загрузке и установке нескольких вариантов зловредов. В их числе AgentTesla, FormBook, Remcos, LokiBot, Guloader, Snake Keylogger и XWorm.
Большинство из них являются шпионами, есть несколько RAT и загрузчиков второго уровня. Исследователи добавили, что, на данный момент обнаружено более 320 атак.
Startpack подготовил список продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.
Статьи по теме
Комментариев пока не было