Специалисты Netskope обнаружили не совсем обычную вредоносную кампанию: злоумышленники распространяют малварь LokiBot и NanoCore через спамерские письма и образы ISO.
Эксперты пишут, что кампания стартовала еще в апреле текущего года, и преступников интересуют преимущественно корпоративные цели. К настоящему моменту было обнаружено около десяти вариантов спамерских посланий с разным текстом (в основном послания замаскированы под различные счет-фактуры) и образами ISO, но полезная нагрузка практически всегда остается неизменной — это известные трояны LokiBot и NanoCore.
Используя формат ISO, злоумышленники, очевидно, пытаются обмануть почтовые фильтры, так как данный формат файлов часто оказывается включен в белые списки. Размеры таких вредоносных образов, как правило, не превышают 1-2 Мб (что необычно мало для файлов ISO). Каждый вредоносный образ содержит только один встроенный исполняемый файл, который и является фактической полезной нагрузкой.
Во многих системах открытие файла ISO приводит к автоматическому монтированию образа. А проникнув в системы жертвы, LokiBot и NanoCore становятся бэкдорами для своих операторов. Малварь позволяет похищать самые разные данные жертв, а также развивать атаки далее, устанавливая на машину дополнительные вредоносы. Более того, модульный RAT NanoCore опасен еще и тем, что поддерживает дополнительные плагины, способен похищать данные из буфера обмена и перехватывать нажатия клавиш.