Некоторые варианты использующего макросы зловреда Bartalex, впервые обнаруженного в текущем году, помимо своей основной функции также загружают дроппер Pony и троянец-банкер Dyre.

Впервые Bartalex был замечен в конце марта этого года; зловред распространялся через макросы в документах Microsoft Word и Excel, прикрепленных к спам-письмам.

Макросы как вектор заражения применяются в кибератаках уже более десяти лет, и, как обычно бывает с вредоносным ПО, все старое в итоге снова входит в моду. В последнее время документы Word с зараженными макросами все чаще используются злоумышленниками. В начале текущего года специалисты Microsoft Malware Protection Center даже забили тревогу, заметив резкий рост числа заражений через макросы.

Брэд Дункан (Brad Duncan), исследователь из Rackspace и постоянный корреспондент ISC SANS, в минувший вторник обнаружил вариацию зловреда Bartalex, распространявшуюся через поддельный документ Word.

Электронное письмо с вредоносным вложением якобы исходило от компании ADP, оказывающей услуги по расчету заработной платы, и извещало получателя об отказе в проведении ACH-платежа (Automated Clearing House). Как отметил Дункан, присмотревшись к заголовку, можно понять, что письмо исходило не от ADP. Однако пользователь, открывший вложенный файл, скорее всего, запустил бы вредоносный макрос на исполнение при условии, что эта функция не отключена в местных настройках Office.

bartalex_2

По словам эксперта, он воспользовался утилитой для анализа вредоносного трафика и обнаружил, что данная вариация Bartalex загружает Pony и Dyre. С помощью Wireshark Дункан обнаружил в коде «данные о сертификатах, характерные для SSL-трафика, генерируемого Dyre», в то же время при использовании анализатора Security Onion исследователю удалось отследить «системные события, связанные с Bartalex и дроппером Pony».

Троянец Pony, существующий уже много лет, известен тем, что похищает биткойны, пароли и другие учетные данные, но своей дурной славой он обязан тому факту, что также используется в роли загрузчика для других зловредов, например для Gameover Zeus.

Хотя некоторые вариации Bartalex и раньше доставляли Dyre, это первый зарегистрированный случай, когда в связке с ним раздается и Pony.

В минувшем апреле исследователи зафиксировали новую волну засева Bartalex, притом через тысячи вредоносных ссылок, привязанных к Dropbox. Тогда этот зловред тоже использовался для загрузки банкера Dyre. Dropbox оперативно отреагировала на сигналы и, сославшись на свою политику Acceptable Use Policy, лишила скомпрометированные учетные записи возможности делиться ссылками на ресурс.

Категории: Аналитика, Вредоносные программы