Киберпреступники изобрели новую технику сокрытия вредоносного кода в макросах

Исследователи из Центра Microsoft по защите от вредоносных программ (Microsoft Malware Protection Center) обнаружили документ Microsoft Word, содержащий новый вариант из семейства вредоносных макросов Trojan Downloader:O97M/Donoff. Для того чтобы файл выглядел безобидно и не вызывал у жертвы подозрения, вирусописатели применили новую технику для сокрытия вредоносного кода.

Документ содержал семь VBA-модулей и пользовательскую форму VBA с тремя кнопками управления. Модули были замаскированы под легитимные SQL-программы с активной и якобы безобидной макрос-функцией. Однако в ходе более тщательного анализа пользовательской формы в поле Caption обнаружилась подозрительная строка, оказавшаяся зашифрованной. Как оказалось, в строке был зашифрован URL (hxxp://clickcomunicacion.es/<uniqueid>), ведущий на содержащую вымогательское ПО Locky страницу.

Вредоносное семейство Donoff существует уже несколько лет и распространяется в спам-кампаниях, в ходе которых злоумышленники используют различных методы социальной инженерии в попытках заставить пользователей открыть вредоносные вложения. Так же как Bartallex, Dridex и прочие вредоносы, Donoff по сути является загрузчиком, применяемым преступниками для инфицирования целевых систем другим вредоносным ПО.

Напомним , в феврале нынешнего года специалисты компании Palo Alto Networks сообщили о появлении трояна-шифровальщика Locky, способ загрузки которого во многом напоминает банковский троян Dridex. Злоумышленники распространяют Locky в спам-кампаниях с прикрепленным вложением в виде документа Microsoft Word. Документ содержит макрос, загружающий вымогательское ПО с удаленного сервера.