Статья Хакеры поставляют вредоносные программы Emotet через документы Microsoft Office

Emotet-Malware.png


Новая вредоносная кампания, которая поставляет вредоносную программу Emotet Malware через документы Microsoft Office в виде вложений с «Поздравительной картой» в качестве названия документа.

Атакующие решили пошутить на День независимости США над пользователями в загрузке вредоносного документа и установке вредоносного ПО.

Банковский Троян EMOTET был выявлен в 2014 году. Он имеет возможность красть личную информацию, такую как имя пользователя и пароль.

Кампания вредоносного Emotet

Новая вредоносная кампания была замечена исследовательской группой Zscaler, и она активно работает со 2 июля по 4 июля: «Мы увидели более двух десятков уникальных пейлоад, поражающих наш Cloud Sandbox в течение 48 часов», - сказал Zscaler.

Документ содержит коварное социальное инженерное сообщение, в котором пользователям предлагается включить контент, который позволяет злоумышленнику запускаться в фоновом режиме. Макрос запутан, чтобы избежать обнаружения, и использует wscript.exe для запуска команды.

enable_editing_0.png



Wscript загружает пейлоад через скрипт PowerShell, в конечном итоге, параметры команды De-obfuscated PowerShell загружают пейлоад Emotet и попадают в директорию temp.

Emotet – широко распространяемое программное обеспечение, которое распространяется через вредоносные спам-кампании, содержащие офисные документы, появляющиеся каждый раз с новыми возможностями.

Это мульти-компонентное вредоносное программное обеспечение, имеющее возможность красть учетные данные через браузеры и электронную почту, атаку «Man-in-the-Browser» и сбор данных электронной почты.

Во время последней кампании он включает RunPE, которое скрывает вредоносное ПО в процесс Legitimate, чтобы обойти сканеры безопасности и внедрить свой код в исполняемый процесс Windows.

Источник: Hackers Delivering Emotet Malware Via Microsoft Office Documents
 
  • Нравится
Реакции: Timofejj и Глюк
Мы в соцсетях: