Новый троян с помощью документов Word крадет пароли и данные пользователей

05 ДекНовый троян с помощью документов Word крадет пароли и данные пользователей

В сети началось распространение вредоносного программного обеспечения типа DOC / TrojanDownloader.Agent, злоумышленники пытаются распространить вирус с помощью электронной почты с прикрепленным к сообщению файлом документа с расширением «.docx».

Как сообщают специалисты по кибербезопасности компании CERT-UA, в случае выполнения макроса целью данной рассылки является загрузка и запуск другого вредоносного программного обеспечения. В CERT-UA установили, что при открытии документа «xxx.docx» происходит загрузка другого файла с адреса «hххp://185.203.118.198/documents/Note_template.dotm» и его запуск в инфицированной системе. Таким образом возникает возможность удаленного проникновения в систему для различных целей, одна из которых может быть вывод из строя инфицированной системы.

В файлах Word предусмотрена возможность использования шаблонов, которые находятся на удаленном сервере, чем и воспользовались злоумышленники. Код загрузки шаблона с макросами «Note_template.dotm» с адреса 185.203.118.198 прописывается в компоненте «… word / _rels / settings.xml.rels» документа «xxx.docx». В открытом доступе есть скрипт для добавления таких «шаблонов» к любому документу с расширением «.docx» (phishery / badocx на GitHub). Некоторые антивирусы все же распознают такие baddocx, как DOC / TrojanDownloader.Agent.

При открытии «xxx.docx» открывается окно с сообщением:

После нескольких секунд сообщение исчезает и открывается следующее, которое побуждает пользователя включить выполнение макросов:

В результате активации документа «xxx.docx» в инфицированной системе меняются реестровые значения, включая Интернет настройки, значение конфигурации редактора MS Word и создаются дополнительные файлы.

Как отмечают исследователи, при загрузке дополнительной вредоносной программы (эксплойта) возможна кража паролей, данных системы и пользователей, и попытки инфицирования USB-носителей.

По информации специалистов, загруженный файл с адреса 185.203.118.198 идентифицировался как вирус Zebrocy, целью которого является кража информации группой Sednit (известная как APT28 или Sofacy, или STRONTIUM).

Индикаторы компрометации (IOC):

Файлы:

md5 efa1b414bf19ee295cc90f29332de4ed ./61371653.docx

https://www.virustotal.com/#/file/abfc14f7f708f662046bfcad81a719c71a35a8dc5aa111407c2c93496e52db74/detection

Контрольный сервер (С2):

185.203.118.198

Файловая активность:

C:WindowsServiceProfilesLocalServiceAppDataLocallastalive1.dat

C:UsersхххAppDataLocalMicrosoftWindowsTemporary Internet FilesContent.IE58NYNNL1S

C:UsersxxxAppDataLocalMicrosoftWindowsTemporary Internet FilesContent.IE58NYNNL1Swpad[1].htm

C:UsersxxxAppDataLocalMicrosoftWindowsTemporary Internet FilesContent.IE5AA5O6QQKNote_template[1].htm

C:UsersxxxAppDataLocalMicrosoftWindowsTemporary Internet FilesContent.MSO827B4022.htm

«C:UsersxxxAppDataLocalMicrosoftWindowsTemporary Internet FilesContent.IE5UCWZNKQCthemedata[1].htm»

C:UsersxxxAppDataRoamingMicrosoftOfficeRecentNote_template.dotm.url

«C:UsersxxxAppDataRoamingMicrosoftOfficeRecentdocuments on 185.203.118.198.url»

«C:UsersxxxAppDataRoamingMicrosoftOfficeWord12.pip»

События журнала системы:

C:WindowsSystem32winevtLogsMicrosoft-Windows-Windows Firewall With Advanced Security%4Firewall.evtx

C:WindowsSystem32winevtLogsMicrosoft-Windows-Dhcp-Client%4Admin.evtx

Реестр:

HKLMSYSTEMControlSet001serviceseventlogSystemmrxsmbParameterMessageFile

HKCUSoftwareMicrosoftWindowsCurrentVersionInternet SettingsCACHELastScavenge

HKCUSoftwareMicrosoftWindowsCurrentVersionInternet SettingsCACHELastScavenge_TIMESTAMP

HKCUSoftwareMicrosoftWindowsCurrentVersionInternet SettingsConnectionsDefaultConnectionSettings

«HKCUSoftwareMicrosoftWindowsCurrentVersionInternet SettingsCACHELastScavenge»

«HKCUSoftwareMicrosoftWindowsCurrentVersionInternet SettingsWpadWpadLastNetwork»

«HKCUSoftwareMicrosoftWindowsCurrentVersionShell ExtensionsCached{7BD29E01-76C1-11CF-9DD0-00A0C9034933} {000214E6-0000-0000-C000-000000000046} 0xFFFF»

«HKCUSoftwareMicrosoftOffice12.0CommonReviewCycleReviewToken»

«HKCUSoftwareMicrosoftOffice12.0WordFile MRUItem 1»

«HKCUSoftwareMicrosoftOffice12.0WordResiliencyDocumentRecovery2DFC792DFC79»

«HKCUSoftwareMicrosoftOffice12.0CommonToolbarsSettingsMicrosoft Office Word»

«HKCUSoftwareMicrosoftOffice12.0WordDataSettings»

«HKCUSoftwareMicrosoftOffice12.0WordMTTF»

«HKCUSoftwareMicrosoftOffice12.0WordMTTA»

Постоянная запись в системе:

«HKCUSoftwareMicrosoftOffice12.0WordResiliencyStartupItemsci7»

Во избежание инфицирования системы в CERT-UA рекомендуют:

• Избегать сообщений указанного и похожего содержания и предостерегать персонал от запуска вложений в подозрительных сообщениях и файлов с выполняемыми форматами;
• Обратить внимание на фильтрование входящих / исходящих информационных потоков, в частности почтового веб-трафика, настроить защиту от спама и подделки адреса отправителя с помощью технологий DKIM, SPF, DMARC;
• Проверить журнальные файлы на предмет наличия записей с указанными выше индикаторами;
• Ограничить возможность запуска исполняемых файлов (* .exe, *. js, * com, * .bs) на компьютерах пользователей из директорий% TEMP%,% APPDATA%;
• Регулярно обновляйте антивирусную базу и сканировать потенциально зараженные системы;
• Регулярно делайте резервные копии важного программного обеспечения и данных;
• Периодически делайте полную проверку «чувствительных» компьютеров на предмет наличия вредоносного программного обеспечения;
• Регулярно обновляйте программное обеспечение в том числе компоненты системы;
• Обратить особое внимание на версии Microsoft Office, было ли осуществлено обновление, если она лицензионная;
отключить макросы, если они не используются;
• Проверить настройки Microsoft Word для ограничения или запрета сетевого трафика и позволить только обновления;
• Администраторам рекомендуется следить за попытками подключения с указанного адреса, для выявления потенциально зараженных систем;
• Обратить внимание на настройку политики использования USB носителей для ограничения инфицирования путем их использования.

Оставить комментарий