Центр реагирования на чрезвычайные ситуации безопасности АнЛаб (ASEC) подтвердил активное распространение вредоносного файла Microsoft Word, замаскированного под шаблон профиля. Злоумышленники рассылают письма от имени некоего профессора, в которых содержится вложение с названием *"[Attachment] Profile Template.doc"*. Файл защищен паролем, который указан в теле письма, что повышает доверие жертвы и побуждает ее открыть документ.
Описание
После запуска файла активируется вредоносный макрос VBA, который использует PowerShell для подключения к командному серверу (C2) и загружает дополнительный скрипт. Этот скрипт предназначен для сбора конфиденциальных данных, хранящихся в браузерах пользователей, включая логины, пароли и другую личную информацию.
ASEC отмечает, что данный вредоносный код схож с ранее обнаруженным в кампании, где злоумышленники распространяли вредоносные документы под видом новостных опросов. Однако в отличие от прошлой атаки, где для утечки данных использовался FTP-протокол, новая версия использует API GitHub. Это означает, что украденная информация отправляется в определенный репозиторий на GitHub, что делает процесс передачи данных менее заметным для стандартных систем защиты.
Эксперты подчеркивают, что подобные скрипты постоянно модифицируются, усложняя их обнаружение. Злоумышленники активно меняют методы атак, чтобы обходить защитные механизмы и антивирусные решения. В данном случае использование GitHub в качестве канала передачи данных - это новый тактический ход, который позволяет злоумышленникам скрывать свою активность, поскольку трафик к популярным платформам, таким как GitHub, редко вызывает подозрения.
Специалисты по кибербезопасности рекомендуют пользователям проявлять повышенную осторожность при работе с вложениями в электронных письмах, особенно если они защищены паролем или запрашивают включение макросов. Даже если письмо выглядит легитимным, важно проверить отправителя и не открывать подозрительные файлы без дополнительной верификации.
Кроме того, для минимизации рисков следует:
- Отключить автоматическое выполнение макросов в настройках Microsoft Office.
- Использовать двухфакторную аутентификацию для учетных записей, чтобы снизить риск компрометации данных.
- Регулярно обновлять операционную систему и программное обеспечение, чтобы закрывать известные уязвимости.
- Установить надежное антивирусное решение с функцией мониторинга подозрительной активности в реальном времени.
ASEC продолжает расследование инцидента и анализирует возможные связи с другими киберпреступными группами. Пока неизвестно, сколько пользователей уже стали жертвами этой атаки, но учитывая использование GitHub в качестве канала передачи данных, масштабы утечки могут быть значительными.
Владельцы репозиториев GitHub также должны быть бдительны: если на их аккаунте появляются подозрительные файлы или активность, это может свидетельствовать о взломе или неавторизованном доступе. В таких случаях необходимо немедленно изменить пароли и проверить журналы активности.
Данный случай еще раз подтверждает, что киберпреступники активно ищут новые способы обхода защиты, а социальная инженерия остается одним из самых эффективных инструментов для заражения систем. Пользователям и компаниям необходимо постоянно повышать осведомленность в области кибербезопасности и внедрять комплексные меры защиты, чтобы минимизировать риски.
Индикаторы компрометации
URLs
- http://hmcks.realma.r-e.kr/gl/ee.txt
MD5
- 393cba61a23bf8159053e352abdd1a76
- a25acc6c420a1bb0fdc9456b4834c1b4
