Специалисты по безопасности из компании Cisco обнаружили следы эффективной атаки, направленной против некоторых компаний из банковской, нефтедобывающей и ювелирной индустрии. Атака представляет собой стандартный фишинг с отгрузкой эксплойта, но в этот раз злоумышленники для загрузки эксплойта использовали язык программирования Visual Basic Scripting for Applications, встроенный в приложения MS Office.

Жертве присылают электронное письмо с вложенным документом Word, причём каждое письмо составлено конкретно для этого адресата. Среди документов — инвойсы, платёжные поручения или квитанции от компаний, с которыми человек действительно имел дело.

image03

После открытия текстового документа срабатывает макрос — и скачивается эксплойт. Во время исполнения макроса устанавливаются соединения со следующими хостами: dl.dropboxusercontent.com, londonpaerl.co.uk, selombiznet.in (вероятно, эти серверы используются для удалённого управления компьютером жертвы). По крайней мере, заражённая система передаёт туда небольшой фрагмент данных с помощью запроса HTTP POST.

image11

Непосредственно файлы эксплойта загружаются с файлохостинга Dropbox.

К сожалению, практически ни один антивирус не распознаёт угрозу во вложенном документе .doc. Специалисты Cisco связались с компанией Dropbox и удалили с хостинга вредоносные файлы.

По мнению Cisco, злоумышленники действовали, по крайней мере, с 2007 года. Учитывая семилетний срок операции и эффективный обход антивирусной защиты, макросы Word можно считать самым эффективным способом загрузки эксплойтов.



Оставить мнение