ActiveX используется для загрузки на Windows 10 дроппера трояна TrickBot

Киберпреступники используют фреймворк ActiveX в документах Microsoft Word для автоматического выполнения на Windows 10 загрузчика вредоносного ПО Ostap, который недавно стал использоваться банковским трояном TrickBot. Исследователи безопасности обнаружили десятки файлов, загружающих на атакуемые системы вредоносное ПО первого этапа, что может свидетельствовать о масштабной вредоносной кампании.

По данным специалистов компании Bromium, Ostap попадает на атакуемую систему через документы Microsoft Word, содержащие вредоносные макросы и изображение, предположительно с зашифрованным контентом. Сами же документы жертве приходят по электронной почте в фишинговых письмах, замаскированных под уведомление о пропущенном платеже. Во вложении к письму содержится поддельная накладная.

Изучив вредоносные документы, исследователи безопасности компании Morphisec обнаружили фреймворк ActiveX, скрытый за встроенным изображением. Как показал более детальный анализ, злоумышленники используют класс MsRdpClient10NotSafeForScripting, предназначенный для удаленного управления. Управление ActiveX может добавляться в текст или рисунок в документах Microsoft Word с целью сделать их интерактивными.

Как сообщают в Morphisec, JavaScript-код для Ostap скрыт в шрифте документа такого же цвета, что и фон, поэтому не виден для невооруженного глаза.