Спам-кампании по распространению HTTP-зловреда Zyklon полагаются на три относительно свежие уязвимости в Microsoft Office. Атаки направлены против телекоммуникационных, страховых и финансовых организаций.

Новую вредоносную активность обнаружили исследователи из FireEye. Они полагают, что киберпреступники рассчитывают выудить пароли вместе с данными криптокошельков и заодно пополнить целевыми системами свой ботнет для проведения DDoS-атак.

Эксперты пишут, что атаки начались с рассылки спам-писем, снабженных вредоносным ZIP-архивом, содержащим файл .doc с эксплойтом для одной из трех уязвимостей в Microsoft Office.

Первая уязвимость представлена багом в .NET Framework (CVE-2017-8759), пропатченным Microsoft в октябре прошлого года. По словам компании-разработчика, если жертва откроет зараженный документ, атакующий сможет устанавливать программы, манипулировать данными и создавать новые учетные записи администратора. В атаке, описанной специалистами FireEye, зараженный файл .doc содержит встроенный OLE-объект, который после запуска инициирует загрузку дополнительного файла .doc с заданного URL-адреса.

Вторая уязвимость (CVE-2017-11882) представляет собой баг удаленного выполнения кода 17-летней давности, который был обнаружен в исполняемом файле Microsoft Equation Editor. Производитель залатал брешь в рамках традиционного вторника патчей в ноябре 2017 года. Принцип ее использования схож с предыдущим случаем — жертва открывает специально созданный файл .doc, который автоматически загружает другой файл в том же расширении с командой PowerShell, используемой для загрузки целевой полезной нагрузки.

Третья брешь скрывается в функциональности Dynamic Data Exchange (DDE), но компания Microsoft не считает ее уязвимостью и настаивает на том, что DDE является функцией и работает как задумано. Тем не менее, в ноябре компания выложила инструкцию для администраторов, в которой описано, как можно безопасно отключить DDE через новые ключи реестра для Office.

DDE — это протокол, описывающий принципы отправки сообщений приложениями и обмена данными через общую память. За последний год злоумышленники с успехом распространили массу вредоносных макросов, которые эксплуатируют его особенности для запуска дропперов, эксплойтов и вредоносных программ.

Специалисты FireEye отметили, что в недавних атаках DDE также используется для доставки дропперов.

«Во всех перечисленных методах используется один и тот же домен для загрузки следующего звена полезной нагрузки (Pause.ps1), представляющего собой очередной скрипт PowerShell в кодировке Base64, — рассказывают исследователи. — Скрипт Pause.ps1 распознает API, необходимые для внедрения кода».

В конечном счете Pause.ps1 тоже ведет себя как дроппер, загружающий и выполняющий «главную полезную нагрузку» — зловред Zyklon.

«Zyklon — это общедоступный, полнофункциональный бэкдор с возможностями кейлоггера, поиска паролей, загрузки и запуска дополнительных плагинов, проведения распределенных атак типа «отказ в обслуживании» (DDoS), самостоятельного обновления и самоуничтожения, — пишут эксперты FireEye. — Этот зловред может загрузить ряд плагинов, в том числе для майнинга криптовалют и извлечения паролей из браузеров и почтовых клиентов».

В данном случае Zyklon сконфигурирован так, чтобы маскировать взаимодействие с командным сервером через сеть Tor.

«Исполняемый файл Zyklon содержит еще один зашифрованный документ в разделе ресурсов .NET с названием tor. Этот файл расшифровывается и внедряется в процесс InstallUtil.exe, после чего действует как Tor-анонимизатор», — отмечают авторы отчета.

После успешной установки зловреда автор атаки сможет выполнять ряд задач: загружать новые плагины, перехватывать пароли или пропускать трафик через обратный прокси-сервер SOCKS5 на зараженных хостах.

«Такого рода угрозы наглядно демонстрируют важность своевременного обновления всего установленного ПО. Более того, другие отрасли тоже должны быть начеку — с большой вероятностью организаторы атаки постепенно расширят свою целевую аудиторию», — подчеркнули специалисты FireEye.

Категории: Аналитика, Вредоносные программы, Спам, Уязвимости