Специалисты Palo Alto Networks/Unit 42 обнаружили масштабную кампанию по распространению трояна удаленного доступа RevengeRAT. Для обхода защитных решений при передаче вредоносных файлов злоумышленники использовали сайты Blogspot, Pastebin и сервис Bit.ly. Намерения преступников пока неизвестны, их целями являются организации из стран Ближнего Востока, Азии, Европы и Северной Америки.

Эксперты изучили сообщение, присланное якобы от крупного финансового учреждения. В теме письма злоумышленники сообщали о блокировке учетной записи. Во вложении находился файл в формате .doc, в котором помещалось изображение с просьбой разрешить запуск макросов.

Когда жертва выдавала это разрешение, на компьютер методом внедрения шаблона скачивался OLE-файл с внешнего сервера. Встроенные в него макросы загружали Excel-документ с обфусцированным кодом, который расшифровывал и открывал URL злоумышленников.

Ссылка вела на страницу сайта Blogspot и была сокращена с помощью Bit.ly. Оттуда с помощью встроенного приложения mshta в систему жертвы проникал вредоносный JavaScript. Скрипт пытался удалить список сигнатур Защитника Windows и приостановить его работу, а также отключить безопасный режим в Word, PowerPoint и Excel. После этого происходила загрузка исполняемых файлов с сайта Pastebin.

В качестве полезной нагрузки выступала одна из версий трояна RevengeRAT под названием Nuclear Explosion. В результате злоумышленники получали удаленный доступ к зараженным системам и могли управлять файлами, процессами, службами и реестром Windows, а также отслеживать IP-адрес жертвы, регистрировать нажатия клавиш, сбрасывать пароли и даже использовать веб-камеру устройства.

«К сожалению, имеющиеся данные не позволяют определить какие-либо мотивы злоумышленников, помимо компрометации как можно большего количества жертв, — сообщили эксперты в эту среду. — Пока что действия преступников наводят на мысли о Gorgon Group, но это требует дополнительного анализа».

Специалисты уже сталкивались с атаками этой группировки. В прошлом году им довелось расследовать похожую кампанию, направленную против правительственных организаций Великобритании, Испании, России и США. Связать вредоносную активность с Gorgon Group аналитикам помогли в том числе и ошибки самих преступников.

Категории: Аналитика, Вредоносные программы, Главное, Хакеры