Операторы трояна FlawedGrace организовали массовые рассылки по электронной почте

Исследователи в области кибербезопасности из компании Proofpoint обнаружили вредоносную кампанию по рассылке электронных писем, нацеленную на пользователей в Германии и Австрии. ИБ-эксперты связали текущую кампанию с киберпреступной группировкой TA505, участники которой в прошлых атаках использовали банковский троян Dridex и такие инструменты, как FlawedAmmyy, FlawedGrace, ботнет Neutrino и вымогательское ПО Locky.

Атаки начались с серии небольших волн рассылок по электронной почте, доставляющих всего несколько тысяч сообщений на каждом этапе, а затем количество писем резко возросло в конце сентября до сотен тысяч.

Преступники обманом заставляют пользователей активировать макросы после открытия вредоносных вложений Microsoft Excel, после чего загружается обфусцированный MSI-файл для установки загрузчиков следующего этапа. Последние устанавливают обновленную версию трояна для удаленного доступа FlawedGrace.

FlawedGrace, впервые обнаруженный в ноябре 2017 года, представляет собой полнофункциональный троян для удаленного доступа на языке C++ и специально разработанный для предотвращения реверсивного инжиниринга и анализа. Троян может устанавливать связь с C&C-сервером для получения инструкций и передачи результатов этих команд обратно на сервер.

В ходе последней вредоносной кампании преступники изменили свою тактику, которая теперь включает использование переоборудованных промежуточных загрузчиков, таких как Rebol и KiXtart, вместо Get2, ранее использованного группой для выполнения разведки, загрузки и установки RAT заключительного этапа.