Фишинг-атака с использованием уязвимости CVE-2017-0199: как вредоносный Excel-файл распространяет FormBook

Атака начинается с письма, маскирующегося под коммерческое предложение или заказ. Вложение содержит Excel-файл, который при открытии в уязвимой версии Office отправляет HTTP-запрос на удалённый сервер для загрузки вредоносного HTA-файла. Далее система автоматически запускает его через mshta.exe, что приводит к исполнению зловредного кода.

Анализ показал, что HTA-файл содержит base64-кодированный скрипт, который загружает и запускает исполняемый файл "sihost.exe" в директории %APPDATA%. Этот файл, в свою очередь, извлекает из своих ресурсов зашифрованный AutoIt-скрипт, который декодируется и выполняет дополнительную полезную нагрузку - файл "springmaker". После расшифровки с помощью XOR-ключа "3NQXSHDTVT2DPK06" выяснилось, что это и есть финальный модуль FormBook.

Уязвимость CVE-2017-0199 была обнаружена восемь лет назад, и для неё выпущены патчи. Однако из-за проблем с обновлением ПО, невнимательности администраторов или недостаточной защищённости систем атака остаётся актуальной. FormBook продолжает активно использоваться злоумышленниками для кражи данных, что делает эту кампанию особенно опасной.

Эксперты рекомендуют своевременно обновлять Microsoft Office, использовать антивирусные решения с актуальными сигнатурами и обучать сотрудников распознаванию фишинговых писем. Дополнительные меры, такие как блокировка подозрительных URL и мониторинг необычной активности в сети, помогут минимизировать риски.

URLs

• http://172.245.123.32/199/sihost.exe
• http://172.245.123.32/xampp/hh/wef.hta

SHA256

• 2bfbf6792ca46219259424efbbbee09ddbe6ae8fd9426c50aa0326a530ac5b14
• 33a1696d69874ad86501f739a0186f0e4c0301b5a45d73da903f91539c0db427
• 3843f96588773e2e463a4da492c875b3241a4842d0c087a19c948e2be0898364
• 7e16ed31277c31c0370b391a1fc73f77d7f0cd13cc3bab0eaa9e2f303b6019af
• a619b1057bccb69c4d00366f62ebd6e969935cca65fa40fdbfe1b95e36ba605d