Эксперты компании Check Point обнаружили серию кибератак, целью которых являлись госслужащие сразу нескольких стран, сообщает Threatpost.
Для доступа к компьютерам жертв киберпреступники использовали вредоносные документы Excel, а также скомпрометированную версию программы TeamViewer, предназначенной для получения доступа к удаленному компьютеру.
Заражение происходило через вредоносный XLSM-документ, замаскированный под секретные материалы Госдепартамента США. Если при открытии файла пользователь разрешал работу макросов, из таблицы выгружался зашифрованный код для скачивания остальных компонентов — легитимной программы AutoHotkeyU32 и рабочего скрипта к ней.
Скрипт обращался к удаленному серверу за дополнительными модулями, которые исполнялись через ту же программу. Их функции позволяли операторам получать с зараженных машин скриншоты и системную информацию, загружать и устанавливать на компьютер TeamViewer вместе с вредоносной DLL-библиотекой.
Эксперты отследили развитие этой кампании до 2018 года, отметив, что атаки могли начаться и раньше. За прошедшее время киберпреступники несколько раз меняли свою технику — например, в первых инцидентах вместо документов MS Office они использовали самораспаковывающиеся архивы. Сама вредоносная DLL-библиотека также прошла заметную эволюцию: актуальный вариант с поддержкой скриптов AutoHotkey появился только в 2019 году, а до этого злоумышленники отправляли команды программе вручную.
