Эксперты Proofpoint поделились результатами анализа компоновщика документов Microsoft Office, активно используемого для распространения вредоносного ПО по email-каналам. Поскольку создаваемые с его помощью вложения засветились в ряде спам-кампаний, аналитики предположили, что новинка продается или сдается в аренду на подпольных форумах.

Первые признаки существования билдера, схожего с ThreadKit, исследователи обнаружили в марте этого года. На тот момент LCG Kit, как его нарекли в Proofpoint, располагал лишь эксплойтом CVE-2017-11882 — для бреши в редакторе формул, которую Microsoft закрыла в ноябре прошлого года. Позднее функциональность Equation Editor сторонней разработки была удалена из набора MS Office.

В конце сентября создатели тулкита добавили в него эксплойт к уязвимости CVE-2018-8174 в движке VBScript. Эксперты зафиксировали несколько вредоносных рассылок, использующих вложения Microsoft Excel, созданные с помощью LCG Kit. При открытии такого документа на ПК загружался html-файл с VBScript, нацеленный на эксплуатацию CVE-2018-8174. В случае успеха на компьютер доставлялся похититель информации Agent Tesla.

К декабрю в арсенале LCG Kit появились также макросы — видимо, из-за сокращения числа Windows-машин, пригодных для эксплойта. По данным Proofpoint, злоумышленники провели как минимум одну рассылку документов Microsoft Word с вредоносным макросом. Ее целью являлся засев другого зловреда, способного эффективно воровать данные, — Loki Bot.

Помимо Word и Excel компоновщик обеспечивает создание документов в форматах .rtf и .pdf (в последнем случае — с JavaScript-кодом, загружающим встроенный документ RTF с эксплойтом).

Код LCG Kit, как показал анализ, сильно обфусцирован. Загружаемый в память шелл-код, отвечающий за установку полезной нагрузки, оказался полиморфным, к тому же для шифрования его на финальной стадии вирусописатели используют генератор псевдослучайных чисел, работающий на основе линейного конгруэнтного метода (LCG). Изменения привносятся в код на лету, в результате сигнатуры образцов не совпадают, что затрудняет идентификацию.

Загрузка и исполнение полезной нагрузки производятся с использованием API-интерфейсов Windows, но каждый вариант шелл-кода использует свою группу API.

Судя по всему, LCG Kit используют в основном небольшие криминальные группы, распространяющие различные RAT-трояны и программы для кражи информации — Loki Bot, FormBook, Agent Tesla, Remcos, AZORult, Revcode RAT, Quasar RAT. Их спам-рассылки имеют массовый характер и могут насчитывать тысячи вредоносных писем. Об одной из таких кампаний в октябре рассказали эксперты Cisco Talos.

Категории: Аналитика, Вредоносные программы, Спам, Уязвимости