Malspam campagne utilise des fichiers Microsoft Publisher aux banques d’attaque

Computer Security News

Experts sécurité de Trustwave ont enregistré une campagne malspam inhabituelle, attaquer des banques avec la FlawedAmmyy RAT.

Ce qui est intéressant dans cette campagne est l’utilisation de fichiers de Microsoft Office Publisher pour infecter les ordinateurs des victimes.

Les chercheurs en sécurité a enregistré un saut énorme dans le nombre de courriels contenant un fichier Microsoft Office Publisher (un attachement .pub) et la ligne d’objet, « Avis de paiement, » qui a été envoyé aux domaines de la Banque.

Malgré le fait que cette campagne de malspam n’est pas grosse du tout, il est fortement axé sur les banques.

Les messages de spam distribuées contiennent des URLs que télécharger le cheval de Troie connu FlawedAmmyy (RAT).

Selon les experts, la campagne a été alimentée par le botnet de Necurs.

« Cette campagne était inhabituelle dans l’utilisation de fichiers .pub. Il est apparu également provenir de la Necurs botnet, un botnet notoire responsable beaucoup distribution massive de logiciels malveillants dans le passé, » les États d’analyse de Trustwave.

« À la différence des précédentes campagnes de masse, cette campagne était petit et, fait intéressant, tous à : nous avons vu les adresses ciblées étaient des domaines appartenant aux banques, indiquant un désir pour les assaillants de prendre pied dans les banques avec les FlawedAmmyy RAT. »

Dès que les victimes Ouvrez le fichier pub, ils sont invités à « Activer les Macros », des versions antérieures de Microsoft Publisher peuvent afficher des instructions pour « Permettre modification » et « Activer le contenu ».

Après l’ouverture manuellement Visual Basic Editor (éditeur VBA) dans Microsoft Publisher et cliqué sur « ThisDocument » dans l’Explorateur de projet, le code VBScript exécute une archive comme arme qui contient le RAT.

« Le script de macro est déclenché avec la fonction Document_Open(). Comme son nom l’indique, lorsque le fichier est ouvert, le script va accéder à une URL et exécuter un fichier téléchargé ». l’analyse des chercheurs lit.

L’URL est stockée dans la propriété Tag, et le code malveillant s’appuie sur les objets de contrôle sous formes de cacher l’URL d’où il télécharge le RAT.

« Au moment où que nous avons examiné l’exemple, l’URL n’était pas accessible plus, mais un peu plus loin les recherches, a indiqué que cette URL est utilisée pour télécharger une archive auto-extractible, qui contenait le FlawedAmmyy RAT, » les experts ont déclaré.

Le mois dernier, les chercheurs de Proofpoint enregistré une autre campagne d’énormes malspam distribuant le FlawedAmmyy RAT qui a été tirant parti des courriels avec des documents PDF comme armes contenant des fichiers malveillants SettingContent-ms.

La campagne de juillet a été attribuée au groupe cybercriminel financièrement motivés TA505.


Leave a Reply

Your email address will not be published. Required fields are marked *