Обнаружена новая фишинговая кампания с Microsoft Word

Обнаружена новая волна фишинговых кампаний с распространением вредоносного ПО SVCReady. «Это вредоносное ПО примечательно необычным способом доставки на целевые ПК с помощью шелл-кода, скрытого в свойствах документа Microsoft Office», - сказал аналитик угроз в HP Патрик Шлепфер в своем отчете .

Кампания включает в себя отправку по электронной почте Microsoft Word документа, который содержит VBA макросы для развертывания вредоносных полезных нагрузок. Особенностью этой кампании является то, что вместо использования PowerShell или MSHTA макрос запускает шелл-код , хранящийся в свойствах документа . Шелл-код впоследствии удаляет вредоносное ПО SVCReady.

Вредоносное ПО может выполнять следующие действия:

• собирать системную информацию;
• делать снимки экрана;
• запускать команды оболочки;
• загружать произвольные файлы;
• загружать ПО RedLine Stealer для похищения паролей .

HP обнаружила совпадения между именами файлов документов-приманок и изображений в файлах кампании SVCReady и TA551 (также известной как Hive0106 или Shathak), но сейчас нет признаков участия TA551 в данной кампании.

«Мы видим артефакты, оставленные двумя разными злоумышленниками, которые используют одни и те же инструменты. Наши результаты показывают, что группы TA551 и SVCReady используют аналогичные шаблоны и конструкторы документов», - отметил Шлепфер.