Обнаружена новая фишинговая кампания с Microsoft Word

Обнаружена новая фишинговая кампания с Microsoft Word

Использование Microsoft Office становится все более опасным

Обнаружена новая волна фишинговых кампаний с распространением вредоносного ПО SVCReady. «Это вредоносное ПО примечательно необычным способом доставки на целевые ПК с помощью шелл-кода, скрытого в свойствах документа Microsoft Office», - сказал аналитик угроз в HP Патрик Шлепфер в своем отчете .

Кампания включает в себя отправку по электронной почте Microsoft Word документа, который содержит VBA макросы для развертывания вредоносных полезных нагрузок. Особенностью этой кампании является то, что вместо использования PowerShell или MSHTA макрос запускает шелл-код , хранящийся в свойствах документа . Шелл-код впоследствии удаляет вредоносное ПО SVCReady.

Вредоносное ПО может выполнять следующие действия:

HP обнаружила совпадения между именами файлов документов-приманок и изображений в файлах кампании SVCReady и TA551 (также известной как Hive0106 или Shathak), но сейчас нет признаков участия TA551 в данной кампании.

«Мы видим артефакты, оставленные двумя разными злоумышленниками, которые используют одни и те же инструменты. Наши результаты показывают, что группы TA551 и SVCReady используют аналогичные шаблоны и конструкторы документов», - отметил Шлепфер.

Квантовый кот Шрёдингера ищет хозяина!

Живой, мертвый или в суперпозиции? Узнайте в нашем канале

Откройте коробку любопытства — подпишитесь