Исследователи из Cybereason обнаружили новую киберкампанию, нацеленную на распространение вредоносной программы Betabot. Для его доставки злоумышленники рассылают поддельные письма с вложением, содержащим эксплойт.

Windows-зловред Betabot, также известный как Neurevt, объявился в Интернете около шести лет назад. Этот бот способен красть учетные данные из клиентских программ, в том числе банковских, перехватывать HTTP/HTTPS-трафик, самостоятельно распространяться через USB-носители, загружать другое вредоносное ПО и проводить DDoS-атаки. Он также снабжен эффективными средствами самозащиты от обнаружения.

Проведенный в Cybereason анализ показал, что Betabot обрел модуль-майнер и руткит режима пользователя. Кроме того, многофункциональный троян научился запускать на исполнение шелл-команды и избавляться от конкурентов, отыскивая их эвристическими методами.

Авторы мошеннических писем стараются под разными предлогами вынудить получателя открыть вложенный файл с расширением .doc. Этот документ, по словам экспертов, на самом деле является rtf-файлом с множеством встроенных объектов. Он нацелен на эксплуатацию давней уязвимости CVE-2017-11882 в редакторе формул Equation Editor, которую Microsoft пропатчила в ноябре прошлого года — а затем и вовсе удалила стороннюю программу из набора Office.

В случае успешной отработки эксплойта на машину жертвы загружается Betabot. При активации он внедряет свой код в запущенный процесс explorer.exe; эксперты также зафиксировали случай инъекции в shtat.exe — процесс, ассоциируемый с антивирусом McAfee.

Прежде чем подключиться к командному серверу, зловред проверяет наличие интернет-связи, обращаясь к различным доменам Google и Microsoft. Как оказалось, один из C&C-серверов Betabot также используют операторы трояна LokiBot.

Текущая вредоносная кампания, по мнению исследователей, отлична от серии атак на промышленные предприятия, о которых «Лаборатория Касперского» сообщила в начале августа. В рамках этой более масштабной операции злоумышленники тоже рассылают поддельные письма с вредоносными вложениями, однако их целью является установка модифицированного RAT-инструмента — TeamViewer или Remote Manipulator System / Remote Utilities (RMS). Иногда на машину жертвы загружается дополнительное ПО для кражи данных, например, AZORult или Betabot.

«Мы не усмотрели прямой связи с находками «Лаборатории Касперского», — заявил журналистам Security Week Ассаф Дахан (Assaf Dahan), старший директор по исследованию интернет-угроз в Cybereason. — Тактика, методы и процедуры совершенно другие, да и рассылки не таргетированные, а более общего характера».

Кто стоит за новой киберкампанией, неизвестно. «Поскольку исходники Betabot и старые компоновщики доступны онлайн на хакерских форумах, а новый билдер стоит недорого (около $200), определить автора трудно», — признал собеседник Security Week.

По данным «Лаборатории Касперского», в настоящее время ботнеты, построенные на основе Betabot (Trojan.Win32.Neurevt), зачастую используются для доставки другой полезной нагрузки на зараженные машины — майнеров (треть загрузок), бэкдоров или RAT-инструментов (21%), троянских программ (17%).

Категории: Аналитика, Вредоносные программы, Спам, Уязвимости