На теневых форумах объявился новый инструмент для компоновки вредоносных документов — Rubella Macro Builder. По свидетельству Flashpoint, этот билдер вполне способен оправдать свое имя (rubella – краснуха) и обрести популярность у киберкриминала, так как он явно создавался с целью «сделать грязные делишки дешевле грязи».

Rubella позиционируется на черном рынке как инструмент, позволяющий без особых усилий генерировать загрузчики для распространения вредоносных программ в виде вложений в спам-письма. Доступ к этому инструменту стоит лишь 40 долларов в месяц.

Примечательно, что в отличие от известных аналогов — MWI, ThreadKit — Rubella не предоставляет эксплойты. Он делает ставку на макрокод в документах Word или Excel, запускаемый на исполнение с помощью элементов социальной инженерии.

Создаваемые этим билдером загрузчики, по словам экспертов, предельно просты, а предлагаемые алгоритмы шифрования вполне обычны (XOR, Base64). Пользователю также предоставляется выбор методов загрузки (PowerShell, Bitsadmin, Microsoft.XMLHTTP, MSXML2.XMLHTTP или кастомный PowerShell) и формата полезной нагрузки (исполняемый код, JavaScript, VB-скрипт).

Способ внедрения вредоносного загрузчика в электронные документы оказался достаточно примитивным, а Base64 позаимствован из другого проекта и отображается в коде VBS, который легко расшифровать.

Изучив Rubella, исследователи признали, что, несмотря на непритязательность, Rubella вполне способен получить широкое распространение в среде киберкриминала: он обладает привлекательной ценой, прост в использовании и предоставляет средства обхода статических анализаторов. Как оказалось, этим инструментом уже воспользовались распространители банковских троянов ZeuS Panda и Gootkit.

Категории: Аналитика, Вредоносные программы, Спам