Статья Хакеры поставляют вредоносные программы Emotet через документы Microsoft Office

AnnaDavydova

AnnaDavydova

Перевожу для codeby
06.08.2016
98
714


Новая вредоносная кампания, которая поставляет вредоносную программу Emotet Malware через документы Microsoft Office в виде вложений с «Поздравительной картой» в качестве названия документа.

Атакующие решили пошутить на День независимости США над пользователями в загрузке вредоносного документа и установке вредоносного ПО.

Банковский Троян EMOTET был выявлен в 2014 году. Он имеет возможность красть личную информацию, такую как имя пользователя и пароль.

Кампания вредоносного Emotet

Новая вредоносная кампания была замечена исследовательской группой Zscaler, и она активно работает со 2 июля по 4 июля: «Мы увидели более двух десятков уникальных пейлоад, поражающих наш Cloud Sandbox в течение 48 часов», - сказал .

Документ содержит коварное социальное инженерное сообщение, в котором пользователям предлагается включить контент, который позволяет злоумышленнику запускаться в фоновом режиме. Макрос запутан, чтобы избежать обнаружения, и использует wscript.exe для запуска команды.




Wscript загружает пейлоад через скрипт PowerShell, в конечном итоге, параметры команды De-obfuscated PowerShell загружают пейлоад Emotet и попадают в директорию temp.

Emotet – широко распространяемое программное обеспечение, которое распространяется через вредоносные спам-кампании, содержащие офисные документы, появляющиеся каждый раз с новыми возможностями.

Это мульти-компонентное вредоносное программное обеспечение, имеющее возможность красть учетные данные через браузеры и электронную почту, атаку «Man-in-the-Browser» и сбор данных электронной почты.

Во время он включает RunPE, которое скрывает вредоносное ПО в процесс Legitimate, чтобы обойти сканеры безопасности и внедрить свой код в исполняемый процесс Windows.

Источник:
 
  • Нравится
Реакции: Timofejj и Глюк
Мы в соцсетях: