Злоумышленники используют платформу WTP для внедрения трояна LatentBot

Злоумышленники используют платформу WTP для внедрения трояна LatentBot

Преступники распространяют вредоносный документ Microsoft Word, использующий файл .DIAGCAB для инфицирования системы.

Платформа диагностики Windows (Windows Troubleshooting Platform, WTP) пополнила список легитимных служб Windows, эксплуатируемых киберпреступниками для распространения вредоносного ПО. Исследователи компании Proofpoint зафиксировали спам-кампанию, в ходе которой распространялся вредоносный документ Microsoft Word, использующий файл .DIAGCAB для инфицирования компьютера жертвы бекдором LatentBot.

После открытия документа на экране отображался бессмысленный набор символов и предупреждение о неправильной кодировке. Для решения проблемы пользователю предлагалось дважды кликнуть на уведомление. Двойной клик запускал файл .DIAGCAB, содержащий набор PowerShell скриптов, загружающих и устанавливающих на компьютер жертвы троян LatentBot.

Как отмечают эксперты, функционально вредоносные макросы и используемые злоумышленниками скрипты «диагностики» практически не отличаются, так как оба позволяют атакующим выполнить серию операций на целевом компьютере. Разница заключается в том, что установленные на устройстве антивирусные решения отслеживают вредоносное ПО, которое может быть загружено вредоносными макросами, тогда как скрипты диагностики по большей части остаются незамеченными.

Платформа Windows Troubleshooting Platform представляет собой средство для выполнения специальных модулей (Troubleshooting Packages), которые создаются на языке PowerShell и призваны решать различные проблемы, касающиеся конфигурации операционной системы, ее отдельных компонентов, устройств, сервисов и приложений. 

Если вам нравится играть в опасную игру, присоединитесь к нам - мы научим вас правилам!

Подписаться