Центр реагирования на чрезвычайные ситуации безопасности АнЛаб (ASEC) подтвердил факт распространения вредоносного файла Word, замаскированного под шаблон профиля, из электронных писем, выдающих себя за некоего профессора.
'[Attachment] Profile Template.doc' - это имя файла Word, защищенного паролем, который был обнаружен, причем сам пароль был включен в тело письма.
Вредоносный макрос VBA содержится в файле Word, который после активации подключается к C2 через PowerShell, после чего загружает и выполняет дополнительный скрипт.
Тип вредоносного ПО, которое в итоге выполняется, аналогичен тому, который был выявлен в статье "Вредоносный документ Word распространяется под видом новостного опроса", поскольку он собирает информацию, сохраненную в браузерах.
Однако в отличие от предыдущего кода, который использовал FTP для утечки учетных данных пользователей, команда подтвердила, что текущая версия представляет собой измененный сценарий, который использует API GitHub для передачи информации в определенный репозиторий.
Считается, что данные, полученные от жертв, были загружены в этот репозиторий GitHub.
Поскольку скрипты, подобные тому, о котором идет речь в этом сообщении, постоянно развиваются, пользователям рекомендуется соблюдать повышенную осторожность.
Indicators of Compromise
URLs
- http://hmcks.realma.r-e.kr/gl/ee.txt
MD5
- 393cba61a23bf8159053e352abdd1a76
- a25acc6c420a1bb0fdc9456b4834c1b4