Обнаружена спам-кампания по распространению кейлоггера Ursnif

image

Теги: вредоносное ПО, спам

Организаторы кампании рассылают электронные письма с защищенным паролем вредоносным документом Microsoft Word.

Злоумышленники распространяют электронные письма с вложением в виде защищеного паролем зашифрованного документа Microsoft Word, содержащего встроенный VBScript скрипт, который загружает и устанавливает на компьютер жертвы кейлоггер Ursnif.

По данным ресурса BleepingComputer, в теле письма, замаскированного под счет-фактуру, содержится пароль, который пользователю нужно ввести для того, чтобы открыть вложение. Прикрепленный файл включает еще три документа Word. При попытке открыть один из них появится диалоговое окно, запрашивающее разрешение на запуск файла VBScript. В случае, если согласие будет получено, запустится скрипт, который загружает DLL библиотеку в папку %AppData% и устанавливает кейлоггер Ursnif.

Запустившись на системе, Ursnif собирает информацию о нажатых клавишах, программах, которые открывает пользователь, созданных им файлах и данных, копируемых в буфер обмена Windows. Все собранные сведения отправляются на подконтрольный злоумышленникам сервер в сети Tor.

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и Яндекс.ДзенЯндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.