Много раз уже было доказано, что злоумышленники возродили свой интерес к макросам Microsoft Office и активно используют их для доставки банковских зловредов, а в последнее время и BlackEnergy. Недавно исследователи из калифорнийской компании zScaler обнаружили, что этот же вектор используют распространители бота Kasidet, известного также как Neutrino.

Вредоносные документы Office раздаются в виде вложений в целевые (spear-phishing) письма; согласно наблюдениям zScaler, этот малотиражный спам стал особенно агрессивным за последние пару недель. Примечательно, что кроме Kasidet тот же VBA-дроппер загружает банкера Dridex.

Зловред Kasidet известен с 2013 года и до недавнего времени использовался преимущественно для проведения DDoS-атак. Наблюдаемый zScaler вариант обладает более широким функционалом, в том числе функциями кражи данных. При этом он способен воровать конфиденциальную информацию как из браузеров — перехватом API, так и из памяти PoS-систем (соответствующий модуль был, по слухам, добавлен в сентябре прошлого года).

Примечательно, что имена браузеров: Firefox, Chrome, IE — хранятся в коде зловреда в шифрованном виде, с использованием той же хэш-функции, которую ранее применял с той же целью Carberp.

Новый Kasidet также умеет отслеживать использование аналитических средств: отладчиков, песочниц, виртуальных машин. Всю краденую информацию, как и сведения о зараженной системе, бот отправляет на C&C-серверы, список которых вшит в код в виде зашифрованных URL.

Представляя результаты анализа, исследователи отмечают, что совместная загрузка Kasidet и Dridex вовсе не означает, что обе кампании взаимосвязаны. «Вредоносные файлы Malicious Office — популярный у вирусописателей вектор доставки полезной нагрузки, — пишут исследователи в своем отчете. — Авторы Dridex используют эту технику уже более года. Интересно было обнаружить, что такая же кампания, с теми же URL используется для доставки Kasidet».

Распространители Dridex взяли на вооружение макросы Office в конце 2014 года и вначале использовали формат Excel, а затем перешли на XML. В октябре Invincea отметила новый всплеск активности Dridex на территории Франции, а в начале прошлого месяца исследователи из IBM обнаружили новую версию банкера, нацеленную на британские банки.

Для доставки троянца во всех случаях использовались макросы, хотя они по умолчанию давно отключены, и злоумышленникам приходится провоцировать пользователя на активацию макросов вручную. По всей видимости, этот вектор доставки вредоносного ПО до сих пор весьма эффективен.

Категории: Аналитика, Вредоносные программы, Спам