Malspam kampanya Microsoft Publisher dosyaları saldırı bankalar için kullanır.

Computer Security News

TrustWave güvenlik uzmanları bankalar FlawedAmmyy RAT ile saldıran bir olağandışı malspam kampanya kaydoldum.

Bu kampanya hakkında ilginç olan kurbanların bilgisayarlara bulaştırmak için Microsoft Office Publisher dosyalarını kullanmaktır.

Güvenlik araştırma içeren bir Microsoft Office Publisher dosyası (.pub ek) ve konu satırında “Ödeme ihbarnamesi,” hangi banka etki alanlarına gönderilen e-postaların sayısı çok büyük bir sıçrama kayıtlı.

Bu malspam kampanya hiç de büyük değil olmasına rağmen güçlü bankalar üzerinde odaklanmıştır.

Dağıtılmış spam mesajları iyi bilinen backdoor trojan indirmek URL içeren FlawedAmmyy (RAT).

Uzmanlara göre kampanya Necurs botnet tarafından desteklenmektedir.

“Bu kampanya .pub dosyaları kullanımda alışılmışın dışındaydı. Ayrıca Necurs botnet, ünlü botnet geçmişte çok kitle kötü amaçlı yazılım dağıtım sorumlu kaynaklanan ortaya çıktı” Trustwave analiz Birleşik.

“Önceki kitle kampanyaları, bu kampanya küçük ve ilginç bir şekilde, Bütün kime oldu: hedef adresleri gördüğümüz edildi FlawedAmmyy RAT ile bankalar içinde bir dayanak elde saldırganların bir arzusu gösteren bankalara ait etki alanları.”

Kurbanlar pub dosya açılır açılmaz, kendilerinden istendiği “Makroları etkinleştir için” yönergeler “Düzenlemeyi etkinleştir” ve “İçeriği etkinleştir” için Microsoft Publisher’ın önceki sürümlerini görüntüleyebilir.

El ile Visual Basic Düzenleyicisi’ni (VBA editörü) Microsoft Publisher uygulamasında açıp “ThisDocument” Proje Gezgini’nde tıklatarak sonra VBScript sıçan içeren bir weaponized arşiv yürütür.

“Makro komut dosyası işleviyle Document_Open() tetiklenir. Dosya açıldığında, anlaşılacağı gibi adı, komut dosyası bir URL’ye erişmek ve karşıdan yüklenmiş bir dosyayı yürütmek.” araştırmacıların analiz okur.

URL Tag özelliğinde depolanır ve kötü niyetli kod kontrol nesneleri hangi downloads o sıçan URL gizlemek için formları güçlendirir.

“Biz örnek muayene zaman URL artık erişilebilir değil ama biraz daha fazla araştırma bu URL FlawedAmmyy RAT, içeren bir kendi kendine açılan arşiv indirmek için kullanılan gösterilen” uzmanlar belirtti.

Geçen ay, Proofpoint araştırmacılar başka bir büyük malspam kampanya FlawedAmmyy RAT dağıtma kayıtlı weaponized PDF belgeleri kötü amaçlı SettingContent-ms dosyalarını içeren e-postaları yararlanarak.

Temmuz kampanya mali motive cybercriminal grup TA505 neden olduğu bildirildi.


Leave a Reply

Your email address will not be published. Required fields are marked *