Новый образец вредоносного ПО обнаружили специалисты по  информационной безопасности из AlienVault. Программа GZipDe проникает на компьютер через инфицированный документ Word, после чего устанавливает полезную нагрузку. По мнению исследователей, зловред используется для направленных атак с целью шпионажа.

Вредоносную программу удалось обнаружить после того, как пользователь из Афганистана загрузил зараженный документ для проверки на сервис VirusTotal. При внимательном рассмотрении выяснилось, что файл Word содержит макрос, который в результате многоходовой комбинации устанавливает на компьютер приложение GZipDe.

Зловред создан при помощи фреймворка .NET и применяет собственные методы шифрования, чтобы скрыть присутствие в памяти компьютера. Программа выполняет функции установщика, обращаясь за полезной нагрузкой к серверу, который на момент проведения исследования был недоступен.

Однако экспертам по информационной безопасности повезло, и в кэше поисковика Shodan нашлась сохраненная копия вредоносного кода. Она представляла собой программу, созданную при помощи фреймворка Metasploit. Обычно эта платформа используется ИБ-экспертами для тестирования компьютерных систем на возможность взлома.

Модуль, которым воспользовались злоумышленники, по сути представляет собой бэкдор, внедряемый в скомпрометированную систему. Он может собирать информацию на зараженном компьютере и передавать ее на командный сервер. Данная программа работает в оперативной памяти, не оставляя следов на диске.

Оставаясь незамеченными для систем защиты, злоумышленники могут загружать новые зловреды, получать повышенные привилегии и проникать на другие компьютеры сети.

VirusTotal не раскрывает информации об источнике инфицированного файла Word, поэтому эксперты затрудняются сказать, на кого должна была быть направлена вредоносная кампания. Возможно, целью киберпреступников является шпионаж за работниками дипломатических ведомств — текст документа содержит цитату из сборника материалов Шанхайской организации сотрудничества.

Киберпреступники все чаще используют готовые решения для организации своих атак. Вместо того чтобы разрабатывать собственные варианты зловредов, злоумышленники покупают или арендуют пакеты программ. Например, в прошлом году только при помощи набора Cobalt Strike из российских банков было выведено более 1 млрд рублей.

Категории: Аналитика, Вредоносные программы