Злоумышленники за недавней фишинговой кампании использовал поддельное Нортон LifeLock документ для того, чтобы обмануть жертв в установке троян удаленного доступа (крыса) на своих системах.
Инфекция начинается с документа Microsoft Word, содержащего вредоносные макросы. Однако, чтобы получить пользователей, чтобы включить макросы, которые по умолчанию отключены, угроза актера за кампанию использовал поддельное защищенных паролем Нортон LifeLock документ.
Пострадавшие просят включить макросы и ввести пароль, предоставленные в фишинговое письмо, содержащее документ, чтобы получить доступ к нему. Пало-Альто сети блок 42, который открыл кампанию, также установлено, что пароль диалоговое окно только в верхнем или нижнем регистре буквы ‘C’. Если пароль неправильный, вредоносных действий не продолжать.
- Акула танк узла становится жертвой фишинг-атаки
- Вредоносные файлы отписывается по электронной почте безопасности продукции
- Корпорация Майкрософт обнаружит новое зло, корп вредоносных атак
Если пользователь не ввести правильный пароль, макрос продолжает выполнение и строит командную строку, которая устанавливает легальное программное обеспечение дистанционного управления, Программы менеджера.
Создание настойчивость
Бинарные крыса загружается и устанавливается на компьютере пользователя с помощью ‘команды msiexec’ в службе установщика Windows.
В новом докладе, исследователи в Пало-Альто сетей блок 42 пояснил, что MSI грузоподъемности устанавливается без каких-либо предупреждений и добавляет скрипт PowerShell в Windows папку Temp. Это используется для сохранения и скрипт играет роль решение для резервного копирования для установки программы менеджера.
Перед тем, как сценарий продолжает свою работу, он проверяет, чтобы увидеть, если антивирус либо Аваст или AVG установлена в системе. Если это так, то она прекращает работу на компьютере жертвы. Если скрипт обнаруживает, что этих программ нет на компьютере, он добавляет файлы требуется компании netsupport Manager в папку со случайным именем, а также создает ключ в реестре для presentationhost.exe главный исполняемый файл с именем » за настойчивость.
Блок 42 впервые открыл кампанию в начале января и ученые отслеживали, связанная с ноября 2019 года, которая показывает, что эта кампания является частью более крупной операции.
- Держите ваши устройства защищены лучшие антивирусные программы
Через BleepingComputer
Сетей