Атаки «бесфайловых» зловредов проводят одни и те же хакеры

Две недавние киберкампании с применением «бесфайловых» вредоносных программ удалось связать с конкретной хакерской группировкой, сообщает «Лаборатория Касперского».

Расследование этих целевых атак, проведенное экспертами «Лаборатории Касперского» и Cisco, показало, что в их ходе активно используются работающие из оперативной памяти зловреды и легальные инструменты для пентестинга. Целью этих кампаний является шпионаж и вывод денежных средств с банковских счетов организаций.

Новые атаки начинаются с узконаправленной рассылки писем с вложенным документом Word, который содержит вредоносный макрос. Если получатель, следуя подсказке, включит активное содержимое, макрос запустится и исполнит внедренную PowerShell-команду с помощью WMI-инструментария.

При отработке вредоносный PowerShell-скрипт Updater.ps1 прежде всего открывает бэкдор, а затем начинает выполнять команды, подаваемые с C&C-сервера. Этот агент также отключает режим защищенного просмотра, чтобы в дальнейшем макрос в документах мог исполняться автоматически, без вывода подсказки enable macro, требующей вмешательства пользователя.

Автор:	Softodrom.ru
Дата:	19.03.2017 22:45