Фишинг: осторожнее с приглашениями на конференции

Авторы фишинговых рассылок вспомнили о таком направлении в своей эпистолярной деятельности, как приглашения на конференции. Подобные письма пока не вызывают больших подозрений у топ-менеджеров и специалистов самых различных отраслей — ведь их часто зовут на разные мероприятия.

В этом случае атакующему не надо подделывать исходящий адрес, чтобы выдать себя за сотрудника отдела HR, подрядчика или регулятора, как это бывает в случае целевого фишинга. Кто помнит настоящие почтовые адреса конференций и настоящие адреса их сайтов? В результате заражению могут подвергнуться рабочие станции с привилегированным доступом — компьютеры руководителей компаний и сотрудников, отвечающих за разработку и обслуживание критически важных систем.

В октябре эксперты PT ESC обнаружили документ формата Publisher с названием «Приглашение 29–30 ноября 2018.pub» (1edd5b6a02ec82cec381c1a1ec74a67e). При открытии документа появляется окошко с размытым документом-заглушкой и просьбой включить скрипт Microsoft Publisher.

После того как пользователь включает скрипт, чтобы рассмотреть текст приглашения, встроенный в документ сценарий на JavaScript декодирует и исполняет два файла — созданное для отвода глаз приглашение в формате PDF и EXE-файл.

В EXE-файле находится самое интересное: многомодульный Treasure Hunter RAT, который относится к классу вредоносного ПО с возможностями удаленного администрирования (RAT — Remote Administration Tools). Этот троян обладает широким набором различных функций, включая полный удаленный доступ к зараженной машине. Специальные модули позволяют злоумышленнику создавать скриншоты экрана или захватывать изображение с веб-камеры (как по запросу, так и с определенным периодом по таймеру), осуществлять запись звука по команде или при обнаружении окна Skype, запускать PowerShell-скрипты, выявлять подключаемые медиаустройства и копировать с них файлы. Ниже — список файлов и папок, создаваемых трояном.

Это не первый такой случай за последние месяцы. В августе коллеги из FortiGuard Labs обнаружили поддельное приглашение на одну из крупнейших выставок военного оружия и спецтехники — международный военно-технический форум «Армия-2018» — с вредоносным PPSX-файлом, использующим уязвимость CVE-2017-0199 в Microsoft Office. В 2016–2017 годах ее использовал ботнет DRIDEX.

Два года назад фейковым приглашением на мероприятие в Джакарте также орудовала APT-группа Lotus Blossom. Для установки трояна на систему жертвы вложение содержало вредоносный код, эксплуатирующий уязвимость в Microsoft Office пятилетней давности (CVE-2012-0158).

Итак, несколько рекомендаций при получении приглашений на конференции из незнакомых источников:

  • Не открывайте вложения в письмах, в том числе документы в формате Publisher. Не реагируйте на просьбы включить скрипт Microsoft Publisher.
  • Не кликайте по ссылкам в письмах неизвестных отправителей. На сайте, куда вы перейдете, может размещаться вредоносное ПО, которое автоматически загрузится на ваш компьютер. Помните, что адрес отправителя может быть поддельным или же компьютер знакомого вам автора письма может быть заражен.
  • Регулярно обновляйте ПО, в частности продукты Microsoft — Windows и Office. Тогда многие трояны не смогут попасть на ваш компьютер, поскольку необходимые им для этого уязвимости будут уже устранены.

Этот сайт использует Akismet для борьбы со спамом. Узнайте как обрабатываются ваши данные комментариев.