Злоумышленники используют PUB-файлы для хищения корпоративных данных

Исследователи компании Bitdefender зафиксировали спам-кампанию, в ходе которой злоумышленники распространяют бэкдор, замаскированный под файл Microsoft Publisher (.pub), предназначенный для хищения конфиденциальной корпоративной информации. В основном киберпреступников интересуют предприятия среднего и малого бизнеса. Троян пока не получил наименование и в настоящее время детектируется как Generic.Malware.SFLl.545292C, сообщает Hot For Security.

Электронные письма, ссылающиеся на различные китайские и британские бренды, содержат вложение в виде файла Microsoft Publisher. После его открытия (в письме рекомендуется использовать приложение Microsoft Publisher) запускается скрипт VBScript, загружающий на компьютер жертвы самораспаковывающийся CAB-файл. Последний содержит скрипт AutoIt, инструмент для запуска скрипта и еще один файл, зашифрованный при помощи алгоритма AES-256. Как отмечается, ключом дешифрования для второго файла служит строка в скрипте AutoIt.

На деле зашифрованный файл является бэкдором, после расшифровки и запуска которого злоумышленники могут получить доступ к инфицированному компьютеру. Троян способен запоминать нажатия клавиш, записывать учетные данные, использующиеся в браузерах и почтовых клиентах, просматривать информацию о системе и пр.

Необычность данной кампании заключается в использовании PUB-файлов для хостинга вредоносного ПО. Как пояснил аналитик Bitdefender Адриан Мирон (Adrian Miron), злоумышленники выбрали данный формат, поскольку обычно пользователи не ассоциируют его с риском инфицирования.