Malspam kampanj använder Microsoft Publisher-filerna till Attack banker

Computer Security News

Trustwave säkerhetsexperter har registrerat en ovanlig malspam kampanj attackerar banker med de FlawedAmmyy RAT.

Vad är intressant med denna kampanj är användning av Microsoft Office Publisher-filer att infektera offrens datorer.

Säkerhet forskarna registrerade ett enormt hopp i antalet e-postmeddelanden som innehåller en Microsoft Office Publisher-fil (en pub attachment) och ämnesraden ”betalningsavi”, som skickades till bank domäner.

Trots att kampanjen malspam inte är stor alls, är det starkt inriktat på bankerna.

Distribuerade spam-meddelanden innehålla webbadresser som hämta den välkända bakdörr trojanen FlawedAmmyy (råtta).

Enligt experterna drivs kampanjen av det Necurs botnät.

– Denna kampanj var ovanligt i användning av pub-filer. Det föreföll också påbörjar från det Necurs botnät, en ökänd botnet ansvarar för mycket massa malware distribution i förflutnan ”, Trustwave analys staterna.

”Till skillnad från tidigare masskampanjer, denna kampanj var små och intressant, alla till: adresserna vi såg riktade var domäner tillhör banker, som anger en önskan för angriparna att få fotfäste inom banker med de FlawedAmmyy RAT”.

Så snart offer öppna pub-filen, de uppmanas att ”aktivera makron” tidigare versioner av Microsoft Publisher kan visa instruktioner att ”aktivera redigering” och ”aktivera innehåll”.

Efter manuellt öppna Visual Basic Editor (VBA Editor) i Microsoft Publisher och klicka på ”DettaDokument” i Projektutforskaren, utför VBScript en weaponized arkiv som innehåller råtta.

”Makro scriptet körs med funktionen Document_Open(). Som namnet antyder, när filen öppnas, skriptet kommer att komma åt en URL och köra en nedladdad fil ”. forskarnas analys läser.

URL-adressen lagras i egenskapen Tag, och den skadliga koden utnyttjar kontrollobjekt i former att dölja URL från vilken det hämtar råtta.

”När vi granskat urvalet, URL-adressen var inte tillgänglig längre, men lite längre forskning visat denna URL användes för att hämta en självextraherande arkiv, som innehöll de FlawedAmmyy RAT”, konstaterade experterna.

Förra månaden, Proofpoint forskarna registrerat en annan enorma malspam kampanj distribuera de FlawedAmmyy RAT som var att utnyttja e-postmeddelanden med weaponized PDF-dokument som innehåller skadliga SettingContent-ms-filer.

Kampanjen juli tillskrevs gruppen ekonomiskt motiverade cyberbrottslingar TA505.


Leave a Reply

Your email address will not be published. Required fields are marked *