«Доктор Веб»: Банковский троян распространяется в документах Microsoft Word

Специалисты ИБ-компании «Доктор Веб» обнаружили новый-троян загрузчик из семейства W97M.DownLoader (по классификации «Доктор Веб»). Эксперты отметили, что злоумышленники регулярно рассылают пользователям электронные письма с вложениями, содержащими данные вредоносы. Только с начала августа текущего года число таких рассылок составило 1% от общего количества распространяемых по электронной почте троянов.

Образец трояна-загрузчика, полученный экспертами, представляет собой документ Microsoft Word, распространяющийся в виде вложения в электронные письма. Троян маскировался под пересылаемое по почте факсимильное сообщение, однако в процессе его создания преступники ошиблись датой.

Сам документ был якобы зашифрован с использованием алгоритма RSA, и для того, чтобы получить возможность прочитать его содержимое, злоумышленники предлагали активировать в редакторе Word использование макросов. Помимо этого, документ содержал якобы пустую страницу, на которой, тем не менее, находился полный текст письма, написанный белым шрифтом, становившимся видимым после включения макросов.

В то время как пользователю демонстрировался текст документа, троян загружал с удаленного сервера несколько фрагментов кода и формировал из них файлы скриптов в форматах .bat, .vbs или .ps1 в зависимости от использующейся версии операционной системы Windows. Далее сценарии загружались на диск и запускались. В свою очередь, скрипты с принадлежащего атакующим сервера скачивали и запускали исполняемый файл, содержащий опасный банковский вредонос Trojan.Dyre.553.