Злоумышленники используют PUB-файлы для хищения корпоративных данных
Исследователи компании Bitdefender зафиксировали спам-кампанию, в ходе которой злоумышленники распространяют бэкдор, замаскированный под файл Microsoft Publisher (.pub), предназначенный для хищения конфиденциальной корпоративной информации. В основном киберпреступников интересуют предприятия среднего и малого бизнеса. Троян пока не получил наименование и в настоящее время детектируется как Generic.Malware.SFLl.545292C, сообщает Hot For Security.
Электронные письма, ссылающиеся на различные китайские и британские бренды, содержат вложение в виде файла Microsoft Publisher. После его открытия (в письме рекомендуется использовать приложение Microsoft Publisher) запускается скрипт VBScript, загружающий на компьютер жертвы самораспаковывающийся CAB-файл. Последний содержит скрипт AutoIt, инструмент для запуска скрипта и еще один файл, зашифрованный при помощи алгоритма AES-256. Как отмечается, ключом дешифрования для второго файла служит строка в скрипте AutoIt.
На деле зашифрованный файл является бэкдором, после расшифровки и запуска которого злоумышленники могут получить доступ к инфицированному компьютеру. Троян способен запоминать нажатия клавиш, записывать учетные данные, использующиеся в браузерах и почтовых клиентах, просматривать информацию о системе и пр.
Необычность данной кампании заключается в использовании PUB-файлов для хостинга вредоносного ПО. Как пояснил аналитик Bitdefender Адриан Мирон (Adrian Miron), злоумышленники выбрали данный формат, поскольку обычно пользователи не ассоциируют его с риском инфицирования.
Читайте также
- Ошибка в API Facebook предоставляла доступ к фото 6,8 млн пользователей
- Одного ноутбука оказалось достаточно для компрометации всей корпоративной сети
- Депутаты Госдумы разработали план по обеспечению работы Рунета на случай отключения от Сети
- Морские суда часто подвергаются кибератакам
- 25 декабря состоится встреча сообщества специалистов по кибербезопасности АСУ ТП / RUSCADASEC
- Уязвимость в приложении Logitech позволяла удаленно инициировать нажатие клавиш