Кампания по кибершпионажу использует скрипты для сбора данных

Кампания существенно отличается от типичного вредоносного спама, распространяющего Locky или банковские трояны.

Эксперты Malwarebytes Labs обнаружили новую кампанию по кибершпионажу, направленную на одну из правительственных организаций в Саудовской Аравии. Основная особенность атак заключается в использовании скриптов вместо бинарной полезной нагрузки для сохранения присутствия на скомпрометированных компьютерах и связи с управляющим сервером.

В рамках кампании атакующие рассылают электронные письма с гербом Саудовской Аравии, содержащие документ MS Word с вредоносным макросом и рядом строк, закодированных с помощью Base64. Для просмотра письма пользователю предлагается активировать макрос.

После того, как жертва откроет документ, содержащийся в нем скрипт VBScript пытается отключить или изменить настройки безопасности Microsoft Excel и Word путем модификации соответствующих ключей реестра. Скрипт также определяет IP-адрес жертвы, а затем загружает данные с сайта Pastebin, используя собственный прокси.

Загруженные данные конвертируются в два скрипта — PowerShell и Visual Basiс. Последний используется для сохранения присутствия на целевой системе, а также запуска скрипта PowerShell. Оба скрипта хранятся в папке «Документы» как скрытые системные файлы.

Скрипт PowerShell также может изменять настройки безопасности Microsoft Office, но его основная функция – эксфильтрация данных и связь с C&C-сервером.

По словам исследователей, данная атака существенно отличается от типичного вредоносного спама, распространяющего Locky или какой-либо банковский троян. Судя по отсутствию вредоносной полезной нагрузки (хотя она может быть загружена с управляющего сервера), атакующие пытаются скрыть свое присутствие, собирая информацию с целевого компьютера.

Кампания по кибершпионажу использует скрипты для сбора данных
Подписывайтесь на канал «SecurityLab» в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.