3 в 1: как один документ Word может украсть пароли, данные и криптовалюту

Исследователи из Fortinet FortiGuard Labs выявили сложную фишинговую кампанию, которая использует документ-приманку Microsoft Word для распространения трех различных типов вредоносного ПО — Agent Tesla, OriginBotnet и RedLine Clipper. Программы могут собирать широкий спектр данных с компьютеров, работающих под управлением Windows.

Фишинговое письмо приходит с вложением в виде документа Word, в котором специально размыто изображение и интегрирован поддельный reCAPTCHA, чтобы спровоцировать пользователя на взаимодействие.

Содержимое вредоносного документа

При клике на изображение загрузчик доставляется с удаленного сервера. Затем загрузчик последовательно устанавливает OriginBotnet для мониторинга нажатий клавиш (кейлоггинг) и кражи паролей, RedLine Clipper для кражи криптовалют и Agent Tesla для извлечения конфиденциальной информации.

Интересно, что загрузчик, разработанный на платформе .NET, применяет методику бинарного заполнения, добавляя «пустые» байты для увеличения объема файла до 400 МБ, чтобы обойти ПО безопасности. Активация загрузчика запускает многоуровневый процесс, который устанавливает постоянное присутствие на зараженной машине и активирует DLL-библиотеку, отвечающую за финальную активацию вредоносов:

• RedLine Clipper — создан для кражи криптовалют, подменяя адрес кошелька в буфере обмена на адрес злоумышленника.
• Agent Tesla — инфостилер, работающий на .NET. Он служит для первичного проникновения в систему и эксфильтрации чувствительной информации — от нажатий клавиш до учетных данных веб-браузеров.
• OriginBotnet — новое вредоносное ПО достаточно функционально и способно устанавливать связь C2-сервером. Кроме того, встроенный плагин для восстановления паролей (PasswordRecovery) собирает и систематизирует учетные данные из различных программ и браузеров, отправляя их на сервер посредством HTTP POST-запросов.

Команда Palo Alto Networks Unit 42 установила в сентябре 2022 года, что преемник Agent Tesla, названный OriginLogger , имеет схожие функции с OriginBotnet, что может указывать на участие одного и того же злоумышленника или группы.

Обнаруженная кампания демонстрирует сложную и хитроумную цепочку действий, начиная от распространения заражённого документа Word и заканчивая активацией вредоносных программ. Такой подход подчеркивает продвинутый уровень компетенции злоумышленников в обходе систем безопасности и установлении контроля над компьютерами жертв.