Ранее нигде не упоминавшийся бэкдор обнаружили эксперты из компании SafeBreach, передает Securitylab. Вредонос крайне скрытный, так как маскируется под процесс обновления Windows.
По словам Томера Бара, руководителя команды исследователей в SafeBreach, за незаметным вредоносом и его C&C-инфраструктурой стоит крайне хорошо подготовленная группировка, которая уже атаковала около 100 жертв.
Цепочка атак неизвестной группировки начинается с Word-документа (VirusTotal), который 25 августа 2022 года был выгружен в сеть из Иордании. Метаданные документа говорят о том, что хакеры нацелены в первую очередь на пользователей LinkedIn.
Если жертва откроет документ, то с помощью вшитого в файл макрокода на ее компьютере выполнится PowerShell-скрипт (Script1.ps1).
PowerShell-скрипт нужен для подключения к C&C-серверу и получения команд, которые будут запущены вторым скриптом (temp.ps1).
Однако хакеры допустили ошибку в своем скрипте, с помощью чего исследователи смогли реконструировать команды, отправляемые сервером. Среди них были команды для запуска whoami, перечисления файлов в определенных папках, извлечения списка запущенных процессов и удаления файлов из общих папок пользователей.