Злоумышленники распространяют троян Kasidet через макросы Microsoft Office

С недавних пор злоумышленники возродили интерес к макросам Microsoft Office, активно используемым для распространения банковских троянов, а в последнее время и вредоноса BlackEnergy. По информации исследователей из американской компании zScaler, данную технику применяют операторы трояна Kasidet, также известного как Neutrino.

Вредоносные макросы Office распространяются в виде вложений в фишинговые письма. По наблюдениям zScaler, за последние две недели активность вредоносной спам-кампании значительно возросла. Помимо Kasidet, тот же VBA-дроппер загружает банковский троян Dridex.

Вредонос Kasidet известен с 2013 года и до недавнего времени использовался для осуществления DDoS-атак. Предположительно, в сентябре прошлого года авторы вредоносного ПО добавили функции хищения данных.

По сравнению с более ранними версиями Kasidet, обнаруженный исследователями вариант обладает более широкими возможностями. Вредонос способен похищать конфиденциальную информацию как из браузеров (перехватом API), так и из памяти PoS-систем. Помимо прочего, Kasidet собирает сведения о названии и версии системы, наличии антивируса и т.д. Все похищенные данные вредонос отправляет на C&C-серверы из списка, содержащегося в коде в виде зашифрованных URL.

Совместная загрузка Kasidet и Dridex вовсе не указывает на взаимосвязь между двумя кампаниями. «Вредоносные документы Malicious Office - популярные у вирусописателей векторы доставки полезной нагрузки. Авторы Dridex используют данную технику уже больше года. Было интересно обнаружить кампанию с применением похожих методов для распространения Kasidet», - отметили исследователи.