Неизвестные фишеры атакуют российский бизнес

Эксперты обнаружили фишинговую кампанию, направленную против банков и промышленных предприятий.

Исследователи компании Trend Micro сообщили о вредоносной кампании, направленной против русскоязычных представителей бизнеса. Жертвами хакеров становятся финансовые организации, в том числе банки, и предприятия горнодобывающей промышленности. По мнению экспертов Trend Micro, кампания все еще продолжается.

За период с 23 июня по 27 июля текущего года исследователи зафиксировали по крайней мере пять атак, в ходе которых киберпреступники отправляли жертвам по несколько вредоносных электронных писем. Ограниченный круг получателей и особенности используемых злоумышленниками техник социальной инженерии указывают на целенаправленность кампании.

Во время атак для запуска неавторизованных скриптов хакеры используют легитимные компоненты Windows, что позволяет им усложнить обнаружение антивирусными решениями. Процесс заражения компьютера начинается с получением жертвами фишинговых писем, в теме которых значится «Правила подключения к шлюзу» или «Оплата госпошлин». Сообщения содержат следующие файлы: Инструкция для подключения клиентов.doc и Заявление на оплату услуги.doc. На самом деле вложения являются видоизмененными RTF-файлами, представляющими собой эксплоит для уязвимости CVE-2017-0199 в Microsoft Office Windows Object Linking and Embedding (OLE).

Самый ранний образец вредоносного файла DDL, связанный с вышеупомянутыми атаками, был загружен на VirusTotal 6 июня 2017 года. Это совпадает с рассылкой вредоносных электронных писем, зафиксированной исследователями за период, начиная с последней недели июня и заканчивая 27 июля.

Microsoft Office Windows Object Linking and Embedding – разработанная Microsoft технология связывания и внедрения объектов в другие документы и объекты. OLE позволяет передавать часть работы от одной программы редактирования к другой и возвращать результаты назад.