Специалисты FireEye обнаружили новую вредоносную кампанию по рассылке фишинговых писем. Злоумышленники устанавливают на компьютер жертвы многофункциональный бэкдор через текстовые документы с внедренными макросами. Программа похищает системную информацию и способна полностью перехватить управление компьютером.

Эксперты связывают атаки с аналогичной активностью, зафиксированной в сентябре прошлого года. Для доставки полезной нагрузки на целевое устройство киберпреступники используют пару документов в формате RTF, эксплуатирующих известные уязвимости Microsoft Office.

Первый файл маскируется под приглашение на серию экологических семинаров от имени Министерства энергетики Республики Казахстан. Программа мероприятий написана на русском языке и включает в себя вопросы применения местного законодательства, что указывает на региональную нацеленность атаки.

При открытии фишингового документа выполняется вредоносный скрипт, эксплуатирующий уязвимость CVE-2017-0199 для загрузки второго файла. Объект с именем seminar.rtf содержит PE-код, который через баг CVE-2017-11882 устанавливает на устройство компоненты бэкдора FELIXROOT. Зловред использует библиотеку rundll32.exe, чтобы разместиться в памяти, и не оставляет следов на жестком диске.

После десяти минут бездействия бэкдор собирает сведения о пораженной системе и передает их на командный сервер. FELIXROOT связывается с центром управления через HTTP или HTTPS и применяет собственный алгоритм шифрования данных. В сферу интересов зловреда входит название ОС, ее серийный номер, имя жертвы, список установленных антивирусных продуктов и другая информация.

Этим функционал FELIXROOT не ограничивается. Исследователи выяснили, что зловред способен загружать на инфицированное устройство файлы и выполнять их, запускать макросы, передавать на командный сервер документы и другие объекты. На случай обнаружения бэкдора создатели предусмотрели режим завершения работы и удаления следов программы из системы.

В сентябре 2017 года FELIXROOT уже попадал в поле зрения ИБ-экспертов. Тогда авторы вредоносной кампании, нацеленной на украинских пользователей, рассылали фишинговые письма от имени банка.

Атаки при помощи бэкдоров способны нанести серьезный ущерб частным лицам и организациям. В начале июля участники группировки MoneyTaker похитили 58 млн рублей с корреспондентского счета «ПИР Банка» с помощью вредоноса Carbanak. По данным ИБ-исследователей, злоумышленники проникли в системы банка через устаревший роутер.

Категории: Вредоносные программы