17.06.2020  Новости, Безопасность

Компания ESET сообщила о всплеске активности группы киберпреступников Gamaredon. Атаки включали рассылку жертвам документов с вредоносными макросами, при выполнении которых возможна загрузка различных видов вредоносного ПО. Как отмечают эксперты ESET, такая схема распространения встречается довольно редко. Gamaredon использует пакет, включающий кастомный проект Microsoft Outlook Visual Basic for Applications (VBA). Злоумышленники с помощью VBScript завершают процессы в Outlook, изменяют значения реестра и отключают безопасное выполнение макроса VBA. На диске сохраняется вредоносный файл ОТМ (Outlook VBA project), содержащий макрос, вредоносное e-mail вложение, а в ряде случаев и список контактов, которым должны быть отправлены сообщения. Далее Outlook перезапускается со специальной опцией /altvba , которая загружает VBA-проект Gamaredon. Вредоносный код выполняется после получения события Application.Startup. Этот модуль используется для следующих целей: отправка вредоносного сообщения по контактам из адресной книги жертвы, по всем контактам одной организации или по заранее заданному списку получателей. Сообщения отправляются на русском и английском языках, однако видно, что изначально у группы были проблемы с кодировкой. Кроме того, с помощью новых инструментов злоумышленники добавляют вредоносные макросы или ссылки на удаленные шаблоны в существующие документы атакованной системы. Это эффективный способ распространения вредоносного ПО в корпоративной сети компании ... читать далее.