Компьютерный вирус

Новый троян с помощью документов Word крадет пароли и данные пользователей

В сети началось распространение вредоносного программного обеспечения типа DOC / TrojanDownloader.Agent, злоумышленники пытаются распространить вирус с помощью электронной почты с прикрепленным к сообщению файлом документа с расширением «.docx».

Как сообщают специалисты по кибербезопасности компании CERT-UA, в случае выполнения макроса целью данной рассылки является загрузка и запуск другого вредоносного программного обеспечения. В CERT-UA установили, что при открытии документа «xxx.docx» происходит загрузка другого файла с адреса «hххp://185.203.118.198/documents/Note_template.dotm» и его запуск в инфицированной системе. Таким образом возникает возможность удаленного проникновения в систему для различных целей, одна из которых может быть вывод из строя инфицированной системы.

В файлах Word предусмотрена возможность использования шаблонов, которые находятся на удаленном сервере, чем и воспользовались злоумышленники. Код загрузки шаблона с макросами «Note_template.dotm» с адреса 185.203.118.198 прописывается в компоненте «… word / _rels / settings.xml.rels» документа «xxx.docx». В открытом доступе есть скрипт для добавления таких «шаблонов» к любому документу с расширением «.docx» (phishery / badocx на GitHub). Некоторые антивирусы все же распознают такие baddocx, как DOC / TrojanDownloader.Agent.

При открытии «xxx.docx» открывается окно с сообщением:

TrojanDownloader.Agent

После нескольких секунд сообщение исчезает и открывается следующее, которое побуждает пользователя включить выполнение макросов:

TrojanDownloader.Agent

В результате активации документа «xxx.docx» в инфицированной системе меняются реестровые значения, включая Интернет настройки, значение конфигурации редактора MS Word и создаются дополнительные файлы.

Как отмечают исследователи, при загрузке дополнительной вредоносной программы (эксплойта) возможна кража паролей, данных системы и пользователей, и попытки инфицирования USB-носителей.

По информации специалистов, загруженный файл с адреса 185.203.118.198 идентифицировался как вирус Zebrocy, целью которого является кража информации группой Sednit (известная как APT28 или Sofacy, или STRONTIUM).

Индикаторы компрометации (IOC):

Файлы:

md5 efa1b414bf19ee295cc90f29332de4ed ./61371653.docx

https://www.virustotal.com/#/file/abfc14f7f708f662046bfcad81a719c71a35a8dc5aa111407c2c93496e52db74/detection

Контрольный сервер (С2):

185.203.118.198

Файловая активность:

C:\Windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat

C:\Users\ххх\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\8NYNNL1S

C:\Users\xxx\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\8NYNNL1S\wpad[1].htm

C:\Users\xxx\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\AA5O6QQK\Note_template[1].htm

C:\Users\xxx\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.MSO\827B4022.htm

«C:\Users\xxx\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\UCWZNKQC\themedata[1].htm»

C:\Users\xxx\AppData\Roaming\Microsoft\Office\Recent\Note_template.dotm.url

«C:\Users\xxx\AppData\Roaming\Microsoft\Office\Recent\documents on 185.203.118.198.url»

«C:\Users\xxx\AppData\Roaming\Microsoft\Office\Word12.pip»

События журнала системы:

C:\Windows\System32\winevt\Logs\Microsoft-Windows-Windows Firewall With Advanced Security%4Firewall.evtx

C:\Windows\System32\winevt\Logs\Microsoft-Windows-Dhcp-Client%4Admin.evtx

Реестр:

HKLM\SYSTEM\ControlSet001\services\eventlog\System\mrxsmb\ParameterMessageFile

HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\CACHE\LastScavenge

HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\CACHE\LastScavenge_TIMESTAMP

HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\DefaultConnectionSettings

«HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\CACHE\LastScavenge»

«HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Wpad\WpadLastNetwork»

«HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Cached\{7BD29E01-76C1-11CF-9DD0-00A0C9034933} {000214E6-0000-0000-C000-000000000046} 0xFFFF»

«HKCU\Software\Microsoft\Office\12.0\Common\ReviewCycle\ReviewToken»

«HKCU\Software\Microsoft\Office\12.0\Word\File MRU\Item 1»

«HKCU\Software\Microsoft\Office\12.0\Word\Resiliency\DocumentRecovery\2DFC79\2DFC79»

«HKCU\Software\Microsoft\Office\12.0\Common\Toolbars\Settings\Microsoft Office Word»

«HKCU\Software\Microsoft\Office\12.0\Word\Data\Settings»

«HKCU\Software\Microsoft\Office\12.0\Word\MTTF»

«HKCU\Software\Microsoft\Office\12.0\Word\MTTA»

Постоянная запись в системе:

«HKCU\Software\Microsoft\Office\12.0\Word\Resiliency\StartupItems\ci7»

Во избежание инфицирования системы в CERT-UA рекомендуют:

• Избегать сообщений указанного и похожего содержания и предостерегать персонал от запуска вложений в подозрительных сообщениях и файлов с выполняемыми форматами;
• Обратить внимание на фильтрование входящих / исходящих информационных потоков, в частности почтового веб-трафика, настроить защиту от спама и подделки адреса отправителя с помощью технологий DKIM, SPF, DMARC;
• Проверить журнальные файлы на предмет наличия записей с указанными выше индикаторами;
• Ограничить возможность запуска исполняемых файлов (* .exe, *. js, * com, * .bs) на компьютерах пользователей из директорий% TEMP%,% APPDATA%;
• Регулярно обновляйте антивирусную базу и сканировать потенциально зараженные системы;
• Регулярно делайте резервные копии важного программного обеспечения и данных;
• Периодически делайте полную проверку «чувствительных» компьютеров на предмет наличия вредоносного программного обеспечения;
• Регулярно обновляйте программное обеспечение в том числе компоненты системы;
• Обратить особое внимание на версии Microsoft Office, было ли осуществлено обновление, если она лицензионная;
отключить макросы, если они не используются;
• Проверить настройки Microsoft Word для ограничения или запрета сетевого трафика и позволить только обновления;
• Администраторам рекомендуется следить за попытками подключения с указанного адреса, для выявления потенциально зараженных систем;
• Обратить внимание на настройку политики использования USB носителей для ограничения инфицирования путем их использования.

Поделиться:

Похожие записи

Автор записи: Евгений Загородний