Контакты
Подписка 2022
МЕНЮ
Контакты
Подписка

Обнаружена новая фишинговая кампания с Microsoft Word

09/06/22

hack33-4Обнаружена новая волна фишинговых кампаний с распространением вредоносного ПО SVCReady. «Это вредоносное ПО примечательно необычным способом доставки на целевые ПК с помощью шелл-кода, скрытого в свойствах документа Microsoft Office», - сказал аналитик угроз в HP Патрик Шлепфер в своем отчете.

Кампания включает в себя отправку по электронной почте Microsoft Word документа, который содержит VBA макросы для развертывания вредоносных полезных нагрузок. Особенностью этой кампании является то, что вместо использования PowerShell или MSHTA макрос запускает шелл-код, хранящийся в свойствах документа . Шелл-код впоследствии удаляет вредоносное ПО SVCReady. Об этом сообщает Securitylab.

Вредоносное ПО может выполнять следующие действия:

  • собирать системную информацию;
  • делать снимки экрана;
  • запускать команды оболочки;
  • загружать произвольные файлы;
  • загружать ПО RedLine Stealer для похищения паролей .

HP обнаружила совпадения между именами файлов документов-приманок и изображений в файлах кампании SVCReady и TA551 (также известной как Hive0106 или Shathak), но сейчас нет признаков участия TA551 в данной кампании.

«Мы видим артефакты, оставленные двумя разными злоумышленниками, которые используют одни и те же инструменты. Наши результаты показывают, что группы TA551 и SVCReady используют аналогичные шаблоны и конструкторы документов», - отметил Шлепфер.

Темы:ПреступленияфишингHPMicrosoft Word
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2022
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ

Еще темы...