Необычную фишинговую кампанию обнаружили специалисты TrendMicro. Злоумышленники отправляли сообщения с вредоносными вложениями от имени одной из организаций, которая ранее вела деловую переписку с жертвой. Используя скомпрометированный почтовый ящик, злоумышленники рассылали трояна Ursnif в ответ на хранившиеся там письма.

Целью атаки стали образовательные учреждения, государственные органы, производственные и транспортные предприятия, а также финансовые и энергетические компании.

По мнению исследователей, преступники взломали несколько электронных адресов, принадлежащих коммерческим организациям, и маскировали свои письма под один из ответов в рамках деловой переписки. Мошенники полностью контролировали скомпрометированные почтовые аккаунты, поскольку, в отличие от большинства вредоносных кампаний, не пользовались спуфингом для подмены данных отправителя. Стремясь достичь большей достоверности, злоумышленники добавляли в текст послания реальные реквизиты организации, от имени которой осуществлялась рассылка.

К письму прилагался документ Word, при открытии которого на компьютере выполняется PowerShell-скрипт, доставляющий полезную нагрузку. Макрос проверяет версию операционной системы и ее региональные установки. Как выяснили эксперты, кампания ориентировалась на все устройства под управлением Windows Vista и более поздних версий, за исключением систем, работающих в России и Китае.

Скрипт устанавливал на инфицированном компьютере многофункциональный троян Ursnif, который внедряет свой код в Проводник, чтобы оставаться в памяти после перезагрузки системы. Вредоносная программа связывается с командным сервером по защищенному каналу с использованием ресурсов сети Tor и отправляет злоумышленникам широкий спектр сведений.

Троян передает атакующим:

  • системную информацию;
  • список установленных приложений идрайверов;
  • перечень запущенных процессов;
  • информацию осетевых устройствах;
  • внешний IP-адрес системы;
  • учетные данные электронной почты (IMAP, POP3, SMTP);
  • файлы куки;
  • сертификаты безопасности;
  • видеозапись рабочего стола.

Помимо этого, Ursnif внедряется в браузер и сканирует трафик для кражи данных банковских карт и другой финансовой информации. Зловред, который также детектируется как Papras, Gozi и Rovnix, известен ИБ-специалистам более 10 лет и способен не только похищать информацию, но и перенаправлять жертву на фишинговые или рекламные ресурсы. На счету трояна сотни тысяч заражений на территории Великобритании, ЕС, Японии и Австралии.

Категории: Вредоносные программы, Мошенничество, Спам