+7 (495) 109 7000 info@thekernel.ru

Вирус-шпион и вирус-вымогатель заражают ПК при помощи MS Word макроса

Исследователи в области информационной безопасности обнаружили две хакерские кампании, проводимые в настоящее время. Одна из них распространяет вирус-шпион Ursnif и вымогатель GandCrab, а вторая заражает компьютеры жертв только шпионом Ursnif.

Несмотря на то, что обе кампании являются делом рук разных хакерских организаций, исследователи нашли в них много сходств. Обе атаки начинаются с рассылки фишинг-писем по email, содержащих прикреплённый MS Word документ со встроенным вредоносным макросом, который при открытии использует PowerShell для заражения системы вирусом.

Ursnif является вредоносным ПО, нацеленным на хищение конфиденциальной информации из заражённых компьютеров, с возможностью сбора банковских учётных данных, истории просмотра веб-страниц, нажимаемых клавиш, информации о системе и процессах, и открытия бэкдоров.

Впервые обнаруженный ранее в прошлом году, GandCrab является широко распространённым вирусом-вымогателем, котрый, как и остальные вымогатели, шифрует файлы на заражённой системе и требует у жертвы выкуп в цифровой валюте за разблокировку данных. Разработчик вредоносного ПО требует выплаты в криптовалюте DASH, по которой получателя отследить довольно сложно.

MS Docs + VBS макрос = заражение Ursnif и GandCrab

Первая волна распространения этих двух вирусов была обнаружена исследователями безопасности из Carbon Black, которые зафиксировали в сети приблизительно 180 вариаций MS Word документов, содержащих вредоносный VBS макрос.

При успешном выполнении, вредоносный VBS макрос исполняет PowerShell скрипт, который при использовании серии техник загружает и запускает Ursnif и GandCrab на целевой системе.

Скрипт PowerShell закодирован в стандарте base64, который на следующем этапе заражения загружает основные пейлоады для получения контроля над системой.

Первый из пейлоадов является строкой PowerShell, при помощи которой получается информация о архитектуре целевой системы и загружаются дополнительные пейлоады из онлайн сервиса Pastebin. Загруженные пейлоады выполняются в оперативной памяти, что позволяет им скрывать свою активность от антивирусов, использующих традиционные техники обнаружения вредоносного ПО.

“Данный PowerShell скрипт явряется разновидностью модуля Empire Invoke-PSInject, с небольшими модификациями”, — заявляют исследователи Carbon Black. “Скрипт использует встраиваемый PE (Portable Executable) файл в кодировке base64 и внедряет его в действующий процесс PowerShell.”

Финальный пейлоад устанавливает на систему жертвы разновидность вымогателя GandCrab, что приводит к блокировке системы и требованию о выплате выкупа в криптовалюте.

Тем временем, вредоносное ПО загружает из удалённого сервера исполняемый код вируса-шпиона Ursnif, который при запуске начинает собирать информацию о системе, мониторит трафик веб-браузера, а затем отправляет полученные данные на контрольный сервер злоумышленников.

Специалистами Carbon Black было обнаружено около 120 модификаций Ursnif, которые размещались на доменах iscondisth[.]com and bevendbrec[.]com, — заявляют исследователи.

MS Docs + VBS макрос = вирус-шпион Ursnif

Аналогичным образом, обнаруженная специалистами по безопасности из Cisco Talos вторая хакерская кампания предполагает использование MS Word документа, содержащего вредоносный макрос, который производит заражение системы разновидностью Ursnif.

Данная вирусная атака получает контроль над системой в несколько этапов, начиная с фишинга по email и исполнения вредоносных скриптов PowerShell для скрытия собственной активности, а затем загружает сам вирус-шпион Ursnif.

Вредоносный скрипт PowerShell состоит из трёх частей. Первая создаёт функцию, которая в последствии используется для раскодировки скриптов в кодировке base64, а вторая создаёт байтовый массив, содержащий вредоносный DLL”, объясняют специалисты Talos.

“Третья часть вызывает созданную в первой части функцию раскодировки base64, передавая данной функции закодированную строку в качестве параметра. Возвращаемая функцией команда PowerShell в последствии исполняется сокращённой функцией Invoke-Expression.”  

Сразу же после исполнения на компьютере жертвы, вредоносное ПО начинает сбор данных о системе, далее упаковывает полученную информацию в файл в формате CAB, а затем отправляет его на контрольный сервер через защищённое HTTPS соединение.

Исследователи из Talos опубликовали в своём блоге список индикаторов комроментации (IOC) вместе с именами файлов пейлоадов, активных на заражённых системах, что в свою очередь может помочь обнаружить и обевредить вирус Ursnif в сети, до того, как система будет заражена.