Файлы, содержащие XLS-файлы с вредоносным макросом, рассылаются сотрудникам целевых финансовых учреждений. Для усыпления бдительности пользователей в темах сообщений указывается информация, связанная с IT-инфраструктурой, к примеру, «отчет о состоянии сервера».
В одном из случаев письмо содержало настоящую переписку между несколькими служащими банка, включая контактную информацию сотрудников ряда других учреждений. Далее сообщение перенаправлялось другим работникам банка, но уже содержало вредоносный документ. Интересно, что данный макрос работает на операционных системах Windows Vista.
После успешного запуска вредоносной программы на экране компьютера отображался дополнительный контент, что нехарактерно для подобных вредоносных кампаний. Однако в данном случае злоумышленники приняли дополнительные меры для усыпления подозрительности пользователей.
Активация макроса приводит к запуску скрипта, который загружает кастомизированную версию утилиты Mimikatz и BAT-файл, использующийся для сбора важной информации о целевой системе. В том числе сведения о текущем авторизованном пользователе, имени хоста, конфигурации сети, индивидуальных и групповых учетных записях, работающих процессах и прочее.
Одной из интересных особенностей вредоноса является использование DNS-запросов в качестве каналов для эксфильтрации данных. Данная техника применяется для сокрытия вредоносной активности. DNS-протокол вряд ли будет заблокирован, а его применение, скорее всего, не вызовет подозрений.
