В последнее время участились случаи, когда товарные вредоносные программы типа Qakbot перестали использовать MS Office Macro, свой прошлый метод распространения, и вместо этого начали использовать OneNote для выполнения своих вредоносных программ.
Если вы посмотрите на случай распространения Qakbot через OneNote, который произошел 1 февраля, угрожающий агент распространял вредоносное ПО через OneNote в качестве вложения в электронное письмо Outlook, как показано на рисунке 2.
Когда пользователи открывают вложение, оно предлагает им нажать кнопку "Открыть", как в типичных вредоносных программах MS Office Macro. Однак, рядом с кнопкой "Открыть" находится скрытый объект HTA (HTML Application). Таким образом, пользователей убеждают, что они нажали кнопку "Открыть", в то время как на самом деле они выполнили объект HTA.
Когда пользователь нажимает кнопку "Открыть", файл HTA, прикрепленный как объект к OneNote, создается во временном пути. После этого процесс mshta, который является программой подключения расширения HTA, используется для окончательного выполнения вредоносного HTA-файла. Вредоносный VBS-код включается в HTA, а Qakbot загружается через curl, обычную утилиту Windows. Наконец, Qakbot исполняется с помощью rundll32.exe.
Indicators of Compromise
URLs
- http://139.99.117.17/31828.dat
MD5
- 8b46417297995d5a9a705b54303ace30
- bc6e2129bbd64375c9254fbd17ab5f14