Группа исследования SonicWall Capture Labs провела анализ троянской программы Orcinius, которая использует Dropbox и Google Docs для загрузки полезной нагрузки и обновлений. Троян содержит обфусцированный макрос VBA, который отслеживает окна и нажатия клавиш на компьютере пользователей, а также создает постоянство с помощью ключей реестра.
Первоначальное заражение происходит через электронную таблицу Excel с итальянским календарем, содержащим макрос VBA, который был изменен с помощью техники "VBA stomping". Во время выполнения, троян выполняет различные действия, такие как проверка ключей реестра, перечисление запущенных окон, настройка постоянства и попытки загрузки через обфусцированные URL-адреса. Также в тексте упоминаются ссылки на другие зловредные программы, связанные с образцом Orcinius.
Indicators of Compromise
Domains
- www-env.dropbox-dns.com
URLs
- https://docs.google.com/uc?id=0BxsMXGfPIZfSVzUyaHFYVkQxeFk&export=download
- https://www.dropbox.com/s/zhp1b06imehwylq/Synaptics.rar?dl=1
SHA256
- 28dd92363338b539aeec00df283e20666ad1bdee90d78c6376f615a0b9481f97