Исследователи из Proofpoint уже более полугода наблюдают спам-рассылки, нацеленные на эксплуатацию уязвимостей в Microsoft Office. Как оказалось, используемые спамерами вредоносные вложения созданы с помощью программы-компоновщика, объявившейся на черном рынке в начале июня.

По словам экспертов, этот эксплойт-билдер, снабженный механизмом учета успешных заражений, несколько напоминает аналогичную разработку Microsoft Word Intruder (MWI), всплывшую в сетевом андеграунде два года назад. Новоявленный коммерческий инструмент, которому в Proofpoint присвоили кодовое наименование ThreadKit, был впервые обнаружен в октябре прошлого года.

Ретроспективный анализ показал, что распространители вредоносных программ используют этот компоновщик как минимум с июня. За истекший период с его помощью раздавались банковские трояны (Trickbot, Chthonic), похитители информации (FormBook, Loki Bot), а также зловреды, которыми оперирует криминальная группировка Cobalt.

Расследование выявило на подпольных форумах несколько объявлений о продаже ThreadKit, по которым эксперты смогли выстроить хронологию его развития.

Первый рекламный пост, датированный 9 июня, сообщал о возможности приобретения билдера для создания документов в формате RTF, DOC, XLS и PPT с эксплойтом к уязвимости CVE 2017-0199 в Office выпусков 2007, 2010, 2013 и 2016 г.г. на Windows 7, 8, 8.1 и 10 в 32-битной и 64-битной версиях.

Согласно этой русскоязычной записи, распаковка исполняемого кода и выбранного сборщиком документа Office, внедренных в файл эксплойта, осуществляется VBS-скриптом. После отработки эксплойта автоматически открывается камуфляжный файл, чтобы жертва не заподозрила неладное. По уверениям продавца, «все части эксплойта сигнатурно недетектируемы антивирусами», его можно обнаружить лишь эвристиками Kaspersky. Norton и NOD.

В июне исследователи зафиксировали несколько спам-кампаний с использованием этой версии ThreadKit. Как оказалось, одним из звеньев цепочки заражения является HTA-файл, загружающий маскировочный документ и VBS-скрипт для распаковки и запуска исполняемого файла. В результате эксплойта на машину жертвы на тот момент устанавливался загрузчик Smoke Loader, который закачивал с внешнего ресурса банкер Trickbot.

В октябре в арсенале ThreadKit появился эксплойт для CVE 2017-8759, и вредоносные вложения, созданные с его помощью, начали использоваться для засева Chthonic.  В ноябре в набор предлагаемых опций был добавлен эксплойт к CVE 2017-11882, а в феврале — к CVE-2017-8570 и CVE-2018-0802. По свидетельству экспертов, все три эксплойта были скопированы с PoC-кодов, выложенных на GitHub.

После столь мощного обновления Proofpoint зафиксировала новый всплеск вредоносных рассылок. Анализ показал, что на сей раз в некоторых документах, созданных с помощью ThreadKit, отсутствует активная ссылка для сбора статистики, то есть далеко не всех пользователей интересует отслеживание результатов эксплойта.

Также были замечены кастомные коррективы: некоторые авторы вредоносных кампаний заменяли или модифицировали скрипты для совершения дополнительных действий — к примеру, чтобы обеспечить закачивание полезной нагрузки вместо запуска из встроенного файла. Одной из целей новых ThreadKit-кампаний являлся засев ботов Neutrino, они же Kasidet.

Категории: Аналитика, Вредоносные программы, Спам, Уязвимости