Опасный троян распространяется через PowerPoint файлы и PowerShell
Исследователи из антивирусной компании SantinelOne обнаружили любопытную технику распространения вредоноса Zusy с помощью PowerPoint-презентации. В отличии от стандартного выполнения кода посредством макросов, вредонос использует PowerShell-сценарий для выполнения кода.
PowerPoint-презентация с вредоносом распространяется посредством спам рассылки с темой писем “Purchase Order #130527” или “Confirmation”.
После открытия файла вместо обычного макроса, свойственного подомным кампаниям, на экране отображается строка “Loading…Please wait”.
Запуск PowerShell-сценария осуществляется при наведении мыши на надпись. Встроенные механизмы защиты Microsoft Office не позволяют сценарию запуститься автоматически. В большинстве случаев пользователю будет выведено сообщение с запросом на разрешение запуска внешнего приложения:
Вредонос обращается к C&C-серверу используя доменное имя cccn.nl (IP: 46.21.169.110).
С полной версией отчета можно ознакомиться здесь.
Читайте также
- Ошибка в API Facebook предоставляла доступ к фото 6,8 млн пользователей
- Одного ноутбука оказалось достаточно для компрометации всей корпоративной сети
- Депутаты Госдумы разработали план по обеспечению работы Рунета на случай отключения от Сети
- Морские суда часто подвергаются кибератакам
- 25 декабря состоится встреча сообщества специалистов по кибербезопасности АСУ ТП / RUSCADASEC
- Уязвимость в приложении Logitech позволяла удаленно инициировать нажатие клавиш
