Исследователи из Palo Alto Networks предупреждают об адресных спам-рассылках, нацеленных на засев бесфайлового зловреда через вложенные документы Word с вредоносным макросом. До недавних пор таким образом доставлялись лишь банковские троянцы вроде Dridex и Dyre, однако этот давний, но, видимо, не утративший эффективности способ иногда применяется и для других зловредов, таких как похититель информации Grabit, шпион BlackEnergy, бот Kasidet, криптоблокер Locky.

В данном случае вредоносные письма, по свидетельству Palo Alto, распространяются малым тиражом на корпоративные адреса американских, канадских и европейских компаний. Они замаскированы под деловое сообщение, содержат корректное имя получателя и некоторую информацию об организации, в которой он работает. Этих мелких сведений, полученных, видимо, из открытых источников, вполне достаточно, чтобы заставить реципиента довериться просьбе и посмотреть вложенный документ.

Если открыть вредоносный файл и, воспользовавшись подсказкой, активировать макрос (по умолчанию он отключен), он запустит на исполнение скрытый powershell.exe с особыми аргументами командной строки. Выполняемая в данном случае PowerShell-команда призвана выявить архитектуру Windows (32-бит или 64-бит) и в зависимости от результата обеспечить загрузку дополнительного скрипта PowerShell с шелл-кодом.

Эта полезная нагрузка выполняет ряд разных проверок на зараженной машине, определяя степень враждебности среды исполнения (виртуальная машина, песочница, отладчик) и ценность мишени. Оперируя черным и белым списками, зловред ищет в сетевых настройках жертвы строки, позволяющие идентифицировать профиль атакуемой машины, а в кэшированных URL — названия нескольких финансовых сайтов и имена Citrix, XenApp, dana-na (общая папка с внутренними URL, создаваемая в реализациях Juniper VPN).

«Похоже, что этот зловред старается по мере возможности не трогать машины медиков и представителей сферы образования, атакуя те, с которых проводятся финансовые операции, — заключают исследователи. — В середине 2015 года аналогичные техники были зафиксированы у семейства вредоносных программ, именуемых Ursnif».

Результаты проверок зловред отсылает в свой центр управления. Если атакуемый объект заинтересовал злоумышленников, C&C-сервер возвращает зашифрованный файл DLL, который временно сохраняется на диске и исполняется с помощью rundll32.exe.

Данного зловреда исследователи нарекли PowerSniff; один из сэмплов был также проанализирован в ISC SANS. По свидетельству Palo Alto, охват данной вредоносной кампании пока невелик: на настоящий момент зафиксировано лишь около 1,5 тыс. спам-писем.

Категории: Аналитика, Вредоносные программы, Спам