Новая спам-рассылка используется для доставки на компьютер жертвы вредоносного ПО через документ Word с внедренным макросом. Об этом рассказал в своем Twitter независимый ИБ-специалист Ив Агостини (Yves Agostini). Как сообщил эксперт, скрипт устанавливает на устройство загрузчик с функцией похищения данных AZORult и новую версию шифровальщика Hermes.

Фальшивое письмо с информацией о задолженности и приложенным к нему счетом на оплату попало в руки Агостини 17 августа. Файл invoice.doc был защищен паролем и успешно прошел проверку 57 антивирусными движками на сайте VirusTotal. По словам аналитика, после открытия документ запрашивал разрешение на активацию встроенного макроса, а получив его — устанавливал полезную нагрузку.

Вредоносный скрипт скачивал один из штаммов программы AZORult, которая загружала и запускала шифровальщик Hermes 2.1. Вымогатель кодировал пользовательские файлы и оставлял на компьютере жертвы сообщение с предложением приобрести декриптор. Злоумышленник также предлагал восстановить один файл бесплатно, чтобы продемонстрировать свои возможности и убедить пользователя заплатить выкуп.

Ранее AZORult использовался не только для доставки зловредов, но и для похищения информации. Версия 3.2, замеченная в дикой природе в середине июля, умела копировать историю браузера, обнаруживать криптовалютные кошельки и подключаться к Интернету через системные прокси. Как отмечают исследователи, троян плохо определяется антивирусными программами, поскольку его код постоянно изменяется.

Зловред регулярно появляется на радарах ИБ-специалистов: в апреле он участвовал в кампании, нацеленной на сайты под управлением CMS Magento. Киберпреступники использовали AZORult для доставки майнера криптовалюты на компьютеры посетителей скомпрометированных ресурсов. Как отмечают исследователи, атака затронула не менее тысячи хостов в США и Европе.

Спам, рассылаемый под видом финансовых документов, использует методы социальной инженерии. Весной этого года стало известно о масштабной кампании, направленной на распространение трояна Quant Loader в файлах, похожих на платежные квитанции. Так же, как и AZORult, зловред применялся для установки полезной нагрузки на скомпрометированное устройство.

Категории: Вредоносные программы, Мошенничество, Спам