Эксперты: Новый червь Crigent заражает Word и Excel и использует Windows PowerShell

Исследователи из Trend Micro  обнаружили  новое семейство вредоносного ПО, заражающего файлы Word и Excel – червь Crigent, так же известный как Power Worm. Вместо того, чтобы создавать или включать выполняемый код, червь использует Windows PowerShell, которая является мощной интерактивной оболочкой/инструментом, поддерживающей все версии Windows. Примечательно, что вся активность Crigent осуществляется именно через скрипты PowerShell, поэтому ИБ-администраторы, следящие за появлением в системе вредоносного ПО, могут пропустить его.

Червь попадает на компьютер в виде инфицированного документа Word или Excel, загруженного пользователем. После открытия он загружает из сети Tor и сервера Polipo два дополнительных компонента – персональный web-кэш/прокси. Злоумышленники маскируют файлы (изменяя их имена), пряча данные в записях DNS. Копии этих файлов хранятся на легитимных хостах облачных сервисов (в данном случае, в Dropbox и OneDrive), а их URL прячется в записях DNS.

Соединения Crigent с C&C-сервисом осуществляется через Tor и Polipo. Используемый URL содержит два идентификатора GUID: {C&C server}/get.php?s=setup&mom={GUID #1}&uid={GUID #2}

Существует несколько способов обнаружения червя внутри системы. Во-первых, подозрение может вызывать присутствие во внутренней сети Polipo и Tor. Стоит отметить, что используемые червем .DOC и .XLS больше не являются расширениями по умолчанию. Версии Office от Office 2007 и выше используют по умолчанию расширения .DOCX и .XLSX, с поддержкой более ранних форматов в целях обратной совместимости. Поэтому присутствие большого количества новых файлов, использующих старое расширение, может быть признаком присутствия Crigent.