Исследователи Bitdefender зафиксировали спам-кампанию, в ходе которой злоумышленники распространяют бэкдор, замаскированный под файл Microsoft Publisher (.pub). Малварь предназначен для хищения конфиденциальной корпоративной информации. В основном киберпреступников интересуют предприятия среднего и малого бизнеса. Троян пока не получил наименование и в настоящее время детектируется как Generic.Malware.SFLl.545292C.
Электронные письма, ссылающиеся на различные китайские и британские бренды, содержат вложение в виде файла Microsoft Publisher. После его открытия (в письме рекомендуется использовать приложение Microsoft Publisher) запускается скрипт VBScript, загружающий на компьютер жертвы самораспаковывающийся CAB-файл. Последний содержит скрипт AutoIt, инструмент для запуска скрипта и еще один файл, зашифрованный при помощи алгоритма AES-256. Как отмечается, ключом дешифрования для второго файла служит строка в скрипте AutoIt.
На деле зашифрованный файл является бэкдором, после расшифровки и запуска которого злоумышленники могут получить доступ к инфицированному компьютеру. Троян способен запоминать нажатия клавиш, записывать учетные данные, использующиеся в браузерах и почтовых клиентах, просматривать информацию о системе и пр.
Необычность данной кампании заключается в использовании PUB-файлов для хостинга вредоносного ПО. Эксперты считают, что злоумышленники выбрали данный формат, поскольку обычно пользователи не ассоциируют его с риском инфицирования.
Электронные письма, ссылающиеся на различные китайские и британские бренды, содержат вложение в виде файла Microsoft Publisher. После его открытия (в письме рекомендуется использовать приложение Microsoft Publisher) запускается скрипт VBScript, загружающий на компьютер жертвы самораспаковывающийся CAB-файл. Последний содержит скрипт AutoIt, инструмент для запуска скрипта и еще один файл, зашифрованный при помощи алгоритма AES-256. Как отмечается, ключом дешифрования для второго файла служит строка в скрипте AutoIt.
На деле зашифрованный файл является бэкдором, после расшифровки и запуска которого злоумышленники могут получить доступ к инфицированному компьютеру. Троян способен запоминать нажатия клавиш, записывать учетные данные, использующиеся в браузерах и почтовых клиентах, просматривать информацию о системе и пр.
Необычность данной кампании заключается в использовании PUB-файлов для хостинга вредоносного ПО. Эксперты считают, что злоумышленники выбрали данный формат, поскольку обычно пользователи не ассоциируют его с риском инфицирования.
