Нортон LifeLock фишинг заражает жертв троян удаленного доступа

Злоумышленники за недавней фишинговой кампании использовал поддельное Нортон LifeLock документ для того, чтобы обмануть жертв в установке троян удаленного доступа (крыса) на своих системах.

Инфекция начинается с документа Microsoft Word, содержащего вредоносные макросы. Однако, чтобы получить пользователей, чтобы включить макросы, которые по умолчанию отключены, угроза актера за кампанию использовал поддельное защищенных паролем Нортон LifeLock документ.

Пострадавшие просят включить макросы и ввести пароль, предоставленные в фишинговое письмо, содержащее документ, чтобы получить доступ к нему. Пало-Альто сети блок 42, который открыл кампанию, также установлено, что пароль диалоговое окно только в верхнем или нижнем регистре буквы ‘C’. Если пароль неправильный, вредоносных действий не продолжать.

Если пользователь не ввести правильный пароль, макрос продолжает выполнение и строит командную строку, которая устанавливает легальное программное обеспечение дистанционного управления, Программы менеджера.

Создание настойчивость

Бинарные крыса загружается и устанавливается на компьютере пользователя с помощью ‘команды msiexec’ в службе установщика Windows.

В новом докладе, исследователи в Пало-Альто сетей блок 42 пояснил, что MSI грузоподъемности устанавливается без каких-либо предупреждений и добавляет скрипт PowerShell в Windows папку Temp. Это используется для сохранения и скрипт играет роль решение для резервного копирования для установки программы менеджера.

Перед тем, как сценарий продолжает свою работу, он проверяет, чтобы увидеть, если антивирус либо Аваст или AVG установлена в системе. Если это так, то она прекращает работу на компьютере жертвы. Если скрипт обнаруживает, что этих программ нет на компьютере, он добавляет файлы требуется компании netsupport Manager в папку со случайным именем, а также создает ключ в реестре для presentationhost.exe главный исполняемый файл с именем ” за настойчивость.

Не пропусти:  Южная Африка против Англии прямая трансляция: как смотреть 3-й ODI 2020 сверчка из любой

Блок 42 впервые открыл кампанию в начале января и ученые отслеживали, связанная с ноября 2019 года, которая показывает, что эта кампания является частью более крупной операции.

Через BleepingComputer

Сетей