Эксперты предупреждают об очередной масштабной фишинговой кампании. Вредоносное ПО распространяется путем рассылки инфицированных файлов Word, имитирующих официальные банковские документы.
Фишинговое сообщение электронной почты с темой «Финансовый отчет», замаскированное под уведомление банка, содержит вредоносное вложение, просмотреть которое можно с помощью текстового редактора Word. Во вложении находится вредоносное ПО, способное копировать содержимое буфера и регистрировать нажатия клавиш. Похищенные данные пересылаются на домен атакующего.
О фишинговой кампании стало известно благодаря уведомлению исследователей из PhishMe. Специалисты сообщили, что полезная нагрузка вредоносного вложения содержит PowerShell, VBA и системные команды. При открытии файла возникает нечеткость изображения, для устранения которой пользователь должен включить макросы. Вслед за этим происходит выполнение командного файла, который запускает сценарий на VBA. После этого запускается сценарий на PowerShell. В завершение происходит установка вредоносного ПО. Сценарии, необходимые для его установки, вредонос удаляет.
К сожалению, у файла Word очень низкий показатель выявления (4/56).
(1).jpg)