Злоумышленники используют уникальные скрипты в атаках на банки Ближневосточного региона

Злоумышленники используют уникальные скрипты в атаках на банки Ближневосточного региона

Преступники рассылают сотрудникам целевых финучреждений электронные сообщения, содержащие XLS-файлы с вредоносным макросом.

image

Исследователи компании FireEye зафиксировали вредоносную кампанию, направленную на финансовые организации, расположенные в Ближневосточном регионе. В ходе кампании злоумышленники рассылают банкам электронные письма, содержащие вредоносные вложения. По всей видимости, пока атаки осуществляются в разведывательных целях. Как отмечают эксперты, преступники применяют уникальные скрипты, что довольно редко встречается в подобных кампаниях.

В ходе атак злоумышленники рассылают сотрудникам целевых финучреждений электронные сообщения, содержащие XLS-файлы с вредоносным макросом. Для усыпления бдительности пользователей в темах сообщений указывается информация, связанная с IT-инфраструктурой, например, "отчет о состоянии сервера" и пр.

В одном из случаев письмо содержало настоящую переписку между несколькими служащими банка, включая контактную информацию сотрудников ряда других финучреждений. Далее это сообщение перенаправлялось другим работникам банка, но уже с прикрепленным вредоносным документом. Как отмечают специалисты, вредоносный макрос работает только на компьютерах под управлением Windows Vista.

После успешного запуска макроса на экране компьютера жертвы отображался дополнительный контент, что нехарактерно для подобных вредоносных кампаний. Однако в данном случае злоумышленники приняли дополнительные меры для усыпления подозрительности пользователей.

Активация макроса приводит к запуску скрипта, который загружает кастомизированную версию утилиты Mimikatz и BAT-файл, использующийся для сбора важной информации о целевой системе. В том числе сведения о текущем авторизованном пользователе, имени хоста, конфигурации сети, индивидуальных и групповых учетных записях, работающих процессах и пр.

Одной из интересных особенностей вредоноса является использование DNS-запросов в качестве каналов для эксфильтрации данных. Данная техника применяется для сокрытия вредоносной активности. DNS-протокол вряд ли будет заблокирован, а его применение, скорее всего, не вызовет подозрений, полагают исследователи FireEye.

В пятом выпуске мы расскажем о кибератаках на Pfizer, SolarWinds, а также о масштабных хищениях с помощью изощренных взломов. Новый обзор в нашем Youtube канале!