Кампания по кибершпионажу использует скрипты для сбора данных

Эксперты Malwarebytes Labs обнаружили новую кампанию по кибершпионажу, направленную на одну из правительственных организаций в Саудовской Аравии. Основная особенность атак заключается в использовании скриптов вместо бинарной полезной нагрузки для сохранения присутствия на скомпрометированных компьютерах и связи с управляющим сервером.

В рамках кампании атакующие рассылают электронные письма с гербом Саудовской Аравии, содержащие документ MS Word с вредоносным макросом и рядом строк, закодированных с помощью Base64. Для просмотра письма пользователю предлагается активировать макрос.

После того, как жертва откроет документ, содержащийся в нем скрипт VBScript пытается отключить или изменить настройки безопасности Microsoft Excel и Word путем модификации соответствующих ключей реестра. Скрипт также определяет IP-адрес жертвы, а затем загружает данные с сайта Pastebin, используя собственный прокси.

Загруженные данные конвертируются в два скрипта - PowerShell и Visual Basiс. Последний используется для сохранения присутствия на целевой системе, а также запуска скрипта PowerShell. Оба скрипта хранятся в папке «Документы» как скрытые системные файлы.

Скрипт PowerShell также может изменять настройки безопасности Microsoft Office, но его основная функция – эксфильтрация данных и связь с C&C-сервером.

По словам исследователей, данная атака существенно отличается от типичного вредоносного спама, распространяющего Locky или какой-либо банковский троян. Судя по отсутствию вредоносной полезной нагрузки (хотя она может быть загружена с управляющего сервера), атакующие пытаются скрыть свое присутствие, собирая информацию с целевого компьютера.