Хакеры атакуют российских военнослужащих льготников

Исследователи «Лаборатории Касперского» рассказали о недавно обнаруженной ими вредоносной кампании Microcin. Кампания получила свое название из-за использующегося в атаках вредоносного компонента microini.

Атака начинается с загрузки жертвой вредоносного RTF-файла, содержащего эксплоит для известной и уже исправленной уязвимости в MS Office (CVE-2015-1641). Поскольку файл распространялся через сайты, ориентированные на очень узкую аудиторию, эксперты ЛК заподозрили целевые атаки. По словам исследователей, злоумышленников интересовали посетители форумов, посвященных вопросам получения льготного жилья российскими военнослужащими.

На форумах публиковались ссылки на вредоносный ресурс, откуда жертва загружала RTF-файл. Поскольку форумы являются легитимными, а название загружаемого файла соответствует их тематике, у жертв не возникало никаких подозрений. В некоторых случаях киберпреступники использовали не RTF, а PPT-файлы с исполняемым PE-файлом, но без эксплоита. Полезная нагрузка при этом загружалась с помощью скрипта из PPT-файла. После установки на атакуемой системе вредонос загружал дополнительные модули, предоставляя хакером большую свободу действий.

В частности, с помощью специальных утилит и модифицированного набора powershell-скриптов PowerSploit злоумышленники похищали хранящиеся на компьютере учетные данные и файлы с расширениями .doc, .ppt, .xls, .docx, .pptx, .xlsx, .pdf, .txt и .rtf.

Исследователи отметили несколько особенностей кампании. Во-первых, полезная нагрузка доставляется с использованием стеганографии, что выглядит как загрузка JPEG-изображения. Во-вторых, если перед установкой инсталлятор Microcin обнаружит запущенные процессы некоторых антивирусных решений, установка пойдет без использования внедрения в explorer.exe.

Источник