Найдена новая волна фишинговых кампаний с распространением вредного ПО SVCReady. Это вредное ПО необыкновенным способом доставки на целевые ПК при помощи шелл-кода, скрытого в свойствах документа Microsoft Office, — сказал аналитик угроз в HP Патрик Шлепфер в собственном отчете.
Кампания содержит в себе отправку по электронной почте Microsoft Word важного документа, который содержит VBA макросы для развертывания вредоносных полезных нагрузок. Необыкновенностью этой кампании является то, что вместо использования PowerShell или MSHTA макрос запускает шелл-код , хранящийся в свойствах документа. Шелл-код в итоге удаляет вредоносное ПО SVCReady.
Вредоносное ПО может выполнять следующие деяния:
- собирать системную информацию;
- делать снимки экрана;
- запускать команды оболочки;
- загружать произвольные файлы;
- загружать ПО RedLine Stealer для похищения паролей .
HP нашла совпадения меж названиями файлов документов-приманок и изображений в файлах кампании SVCReady и TA551 (также известной как Hive0106 либо Shathak), но на данный момент нет признаков роли TA551 в данной кампании.
«Мы видим артефакты, оставленные двумя разными злоумышленниками, которые используют одни и те же инструменты. Наши результаты показывают, что группы TA551 и SVCReady используют аналогичные шаблоны и конструкторы документов», — отметил Шлепфер.
