Злоумышленники продолжают экспериментировать с криптоблокерами, опробуя разные способы заражения. Расследуя киберинцидент у представителя сферы здравоохранения, эксперты Carbon Black обнаружили новую итерацию вымогателя, для доставки которой используются Microsoft Word и компонент Windows PowerShell.

Вымогатель, нареченный PowerWare, отличается от прочих шифровальщиков тем, что он бесфайловый; эту технику ранее использовали операторы эксплойт-пака HanJuan, а совсем недавно — зловред-разведчик PowerSniff.

По свидетельству Carbon Black, новый блокер распространяется через спам-письма с прикрепленным документом Word, замаскированным под инвойс. При открытии этого файла получателю предлагают включить макрос, якобы для более адекватного отображения. Если пользователь последует этой подсказке, будет создан процесс cmd.exe, а затем вызван PowerShell для загрузки и запуска вредоносного скрипта. Использование PowerShell в данном случае помогает обойтись без записи файлов на диск и позволяет зловреду органично вписаться в легитимную активность на компьютере.

«Макрокоманда используется для запуска PowerShell и загрузки скрипта-вымогателя, — пояснил журналистам Threatpost старший вирусный аналитик Carbon Black Рико Вальдес (Rico Valdez). — Через макросы в документах Word распространяются многие зловреды. В большинстве случаев макрос загружает дополнительный бинарный код, более вредоносный (бэкдоры и т.п.). Здесь же загрузки дополнительных бинарников не происходит, всю грязную работу выполняет PowerShell (который уже присутствует в системе, причем на законных основаниях)».

По словам Вальдеса, новый криптоблокер также использует PowerShell для шифрования файлов после компрометации. «Программой, которая фактически выполняет шифрование файлов, является PowerShell, — заявил эксперт. — Соответствующий скрипт загружается и подается на вход PowerShell. Следовательно, в данном случае мы имеем дело с нетрадиционным вредоносным ПО, дополнительный исполняемый код здесь не требуется, нужен лишь текстовый документ (скрипт)».

Файлы жертвы шифруются, за ключ дешифрации злоумышленники требуют $500; через две недели после заражения эта сумма удваивается.

PowerWare — не единственный криптоблокер, использующий макросы Microsoft Office для инициации заражения, хотя на компьютерах Windows они по умолчанию отключены. Так, этот вектор уже опробовал Locky, недавно поразивший сети медучреждений в Голливуде и Кентукки. Тем не менее тот же Locky использовал макросы для загрузки файлов на скомпрометированную машину, а PowerWare старается этого не делать.

«Эта атака полагается на убедительность социальной инженерии, способной заставить пользователя активировать макрос, — комментирует Вальдес. — Макросы включены во многие документы Word и таблицы Excel, так что пользователь может и не заподозрить неладное, хотя все зависит от его искушенности и рабочего окружения».

Категории: Аналитика, Вредоносные программы, Главное