Специалисты Cisco Talos зафиксировали вредоносную кампанию, нацеленную на турецких пользователей . Задействованные в атаке письма с установщиком трояна Adwind плохо распознаются антивирусными системами из-за оригинального метода обфускации заголовка, используемого злоумышленниками. Пик активности киберпреступников пришелся на 26–28 августа, однако запросы к их серверам продолжались вплоть до середины сентября.

Как пояснили исследователи, атака начинается с письма на турецком языке, содержащего вложение в формате .csv или .xlt. Такие документы по умолчанию открываются в Excel и могут содержать встроенные макросы.

Чтобы обойти антивирусную защиту, злоумышленники поместили в заголовок файла набор случайных символов. Это допустимо, но необычно, поскольку в этой секции обычно декларируется тип объекта. В результате большинство сканеров безопасности пропускают вредоносное приложение, поскольку считают его поврежденным.

Excel перед открытием вложения предупреждает пользователя, но все равно выполняет команду. Если жертва проигнорирует сообщения программы, запускается DDE-макрос, который применяет стандартную утилиту Microsoft BITSAdmin для доставки Java-архива с сервера злоумышленников. Полезная нагрузка — это обфусцированный скрипт, который исследователи идентифицировали как RAT-зловред Adwind 3.0.

Его задействовали во многих кибератаках, и, по мнению экспертов, он является одним из крупнейших сервисов типа MaaS (зловред как услуга). Киберпреступники могут взять Adwind в аренду и получить в свое распоряжение панель управления криминальной кампанией, позволяющую контролировать работу зараженного устройства.

По информации экспертов, зловред позволяет киберпреступнику:

    • Устанавливать другие вредоносные программы.
    • Выполнять в скомпрометированной системе сторонний код.
    • Записывать нажатия клавиш.
    • Делать скриншоты.
    • Пересылать на командный сервер любые файлы.

Категории: Вредоносные программы, Спам