Другие новости

Фишинговые письма использует новый способ заражения компьютеров кейлоггером

17.01.2017 | 01:26 Экономика

Чтобы избежать обнаружения, эта вредоносная программа использует Visual Basic Script вместо макросов.

Киберпреступники нацелены на крупного провайдера финансовых услуг с помощью электронных писем, содержащих инструменты установки зловредного программного обеспечения для сбора информации в виде клавиатурного ввода.

Кейлоггинг позволяет хакерам видеть все, что набирается на клавиатуре зараженного компьютера, а это может быть использовано для кражи информации, персональных и учетных данных.

Исследователи кибербезопасности из Proofpoint отмечают, что нападение является очень узким по своему охвату. Атака нацелена на пользователей всего лишь однного американского финансового сервиса и страховой организации. Естественно, что банки являются желанной мишенью для киберпреступников, которые хотят не только получить деньги, но и рассматривают финансовые институты, как сокровищницу данных.

Как и многие фишинговые угрозы, сообщение содержит вложение в виде документа Microsoft Word, предназначенного для доставки полезной нагрузки. Однако, в отличие от большинства фишинговых сообщений, содержащих вредоносные вложения, использующие макросы, на этот раз, чтобы избежать обнаружения, используется встроенный объект в виде Visual Basic Script, который действует как загрузчик вредоносных программ.

«Это Packager Shell Object. Когда содержимое в виде скрипта упаковано в Packager Shell Object, оно может быть открыто и выполнено из файла Microsoft Office, в котором он встроен», говорит Кевин Эпштейн, вице-президент центра угроз в Proofpoint.

В этом случае, электронные письма включают вложение Microsoft World под названием «Info.doc», который содержит изображение, предлагающее пользователю нажать на него, чтобы установить Microsoft Silverlight, и просмотреть содержимое документа.

Однако, при ближайшем рассмотрении изображения, исследователи отмечают, что оно содержит не линк, а скорее файл Visual Basic Script с зловредным кодом для кейлоггинга, который будет выполнен при нажатии на картинку.

После установки на зараженной системе, вредоносная программа регистрирует нажатия клавиш и отправляет информацию по двум, жестко прописанным адресам Gmail.

В то время как исследователи не смогли точно определить кейлоггер, используемый в этой атаке, он написан на языке сценариев Aultolt и использует инструменты, включающие инструмент восстановления паролей Lazagne, который облегчает сбор учетных данных.

Нет никаких данных о том, кто стоит за атаками против неназванного финансового сервиса, но исследователи указывают на вредоносное программное обеспечение, полученное из публичного хранилища вредоносных програм, загруженное из Эстонии. Согласно Proofpoint, это указывает на то, что кейлоггер может быть использован в атаках на аналогичные учреждения.

Исследователи отмечают, что это вредоносное ПО является базовым по сравнению с другими эксплойтами, но метод доставки кейлоггера конечным пользователям отличается от испытанного метода обмана для включения макросов.

Приложения Microsoft Office могут блокировать макросы по умолчанию. Эта угроза указывает на то, что киберпреступники активно разрабатывают новые способы доставки вредоносного код