Исследователи безопасности обнаружили десятки файлов, загружающих на атакуемые системы вредоносное ПО первого этапа, что может свидетельствовать о масштабной вредоносной кампании.
По данным специалистов компании Bromium, Ostap попадает на атакуемую систему через документы Microsoft Word, содержащие вредоносные макросы и изображение, предположительно с зашифрованным контентом. Сами же документы жертве приходят по электронной почте в фишинговых письмах, замаскированных под уведомление о пропущенном платеже. Во вложении к письму содержится поддельная накладная.
Изучив вредоносные документы, исследователи безопасности компании Morphisec обнаружили фреймворк ActiveX, скрытый за встроенным изображением. Как показал более детальный анализ, злоумышленники используют класс MsRdpClient10NotSafeForScripting, предназначенный для удаленного управления. Управление ActiveX может добавляться в текст или рисунок в документах Microsoft Word с целью сделать их интерактивными.
Как сообщают в Morphisec, JavaScript-код для Ostap скрыт в шрифте документа такого же цвета, что и фон, поэтому не виден для невооруженного глаза.