Нові хакерські атаки на користувачів Microsoft Outlook та Office

“Компанія ESET повідомляє про виявлення нової активності групи кіберзлочинців Gamaredon, яка діє щонайменше з 2013 року і відповідає за ряд атак, спрямованих в більшості випадків на українські установи”, – повідомляється на сайті ESET.

Згідно з повідомленням, під час останньої кампанії зловмисники скористалися інноваційними інструментами для розповсюдження шкідливого програмного забезпечення.

Перший інструмент націлений на Microsoft Outlook з використанням створеного Microsoft Outlook Visual Basic для додатків (VBA) проекту і дозволяє зловмисникам використовувати обліковий запис електронної пошти жертви для відправки фішингових листів контактів з адресної книги.

“Використання макросів Outlook є досить нетиповим способом розповсюдження шкідливого програмного забезпечення”, – зазначили експерти з кібербезпеки.

Другий інструмент, за даними прес-служби ESET, використовується для додавання макросів і посилань на віддалені шаблони у документах Office — Word і Excel. Обидва інструменти призначені для подальшого розповсюдження шкідливого програмного забезпечення Gamaredon в заражених мережах.

“За останні кілька місяців активність цієї групи зловмисників зросла, і кіберзлочинці цілеспрямовано відправляють шкідливі листи в поштові скриньки користувачів. До цих електронних листів прикріплюють вкладення — документи з шкідливими макросами, які в разі запуску намагаються завантажити різні види шкідливих програм”, — наводяться в повідомленні слова керівника дослідницької лабораторії ESET Жана-Ян Боутіна.

За даними компанії ESET, нові інструменти використовують шкідливі макроси або посилання на віддалені шаблони і додають їх в існуючі документи атакованої системи, що є дуже ефективним способом поширення в корпоративній мережі компанії, оскільки документи, як правило, передаються колегам.

Крім того, завдяки спеціальній функції, яка дозволяє змінювати налаштування безпеки макросів Microsoft Office, заражені користувачі не підозрюють, що вони піддають ризику свої робочі станції кожного разу при відкритті документів. Згідно з інформацією прес-служби, група кіберзлочинців використовує бекдори і програми для викрадення файлів з метою ідентифікації та збору конфіденційних документів в зараженій системі та завантаження їх на командний сервер (C&C).

Крім того, ці шкідливі програми для викрадення файлів мають можливість виконувати команди з віддаленого сервера. Між Gamaredon та іншими групами хакерів є одна істотна відмінність — кіберзлочинці Gamaredon прикладають мінімальні зусилля, щоб залишатися непоміченими в мережі. Навіть незважаючи на те, що їхні інструменти здатні використовувати методи для маскування, основне завдання цієї групи зловмисників — якомога швидше поширитися в мережі своєї жертви, намагаючись викрасти дані.

“Хоча використання скомпрометованої поштової скриньки для відправки шкідливих листів без згоди користувача не є новою технікою, ми вважаємо, що це перший зафіксований випадок атаки кіберзлочинців з використанням файлу OTM і макросу Outlook, — цитує прес-служба ESET Боутіна. — Ми змогли зібрати безліч різних зразків шкідливих скриптів, виконуваних файлів і документів, що використовуються групою Gamaredon під час усіх шкідливих кампаній”.