15 июня 2020 290

Плохая весточка. Хакеры атакуют компании с помощью Outlook

Эксперты ESET сообщают о всплеске активности группы киберпреступников Gamaredon. Злоумышленники рассылают жертвам документы с вредоносными макросами, при выполнении которых на компьютер загружается зловред. Такая схема распространения нежелательного ПО встречается довольно редко.

Gamaredon использует пакет, который включает кастомный проект Microsoft Outlook Visual Basic for Applications (VBA). Хакеры с помощью VBScript завершают процессы в Outlook, изменяют значения реестра и отключают безопасное выполнение макроса VBA. На диске сохраняется вредоносный ОТМ (Outlook VBA project) файл, содержащий макрос, зловредное вложение и в ряде случаев список контактов, которым должны быть отправлены сообщения.


Цепочка действий во время атаки Gamaredon

Далее Outlook перезапускается со специальной опцией /altvba <OTM fileename>, которая загружает VBA-проект Gamaredon. Вредоносный код выполняется после получения события Application.Startup. Данный модуль используется для следующих целей: отправка вредоносного сообщения по контактам из адресной книги жертвы, по всем контактам организации или по заранее заданному списку получателей.

Сообщения рассылаются на русском и английском языках, однако изначально у киберпреступников были проблемы с кодировкой:

Сообщение, сгенерированное модулем Outlook VBA, с вредоносным документом во вложении

Кроме этого, злоумышленники добавляют вредоносные макросы или ссылки на удаленные шаблоны в существующие документы атакованной системы. Это эффективный способ распространения зловреда в корпоративной сети — сотрудники сами пересылают опасный файл друг другу.

Хакеры Gamaredon используют бэкдоры и программы для похищения файлов с целью идентификации и сбора конфиденциальных документов в зараженной системе, а также их загрузки на C&C-сервер. С помощью удаленного сервера мошенники также могут отправлять команды целевому зловреду.

Комментарии

0
Оставьте комментарий!