В мире кибербезопасности постоянно появляются новые угрозы, и одной из последних тенденций становится использование стеганографии для сокрытия вредоносного кода. Обнаруженный вредоносный Excel-файл под названием blcopy.xls демонстрирует, как злоумышленники адаптируются к ужесточающимся мерам безопасности.
Описание
Хотя Microsoft значительно ограничила возможность автоматического выполнения макросов в Office-документах, это не остановило киберпреступников. В данном случае файл содержит несколько встроенных Excel-листов, а его структура была проанализирована с помощью инструмента oledump.py, который показал наличие множества скрытых объектов и VBA-модулей.
Особый интерес представляет встроенный вредоносный сценарий, который загружает дополнительные компоненты с удалённого сервера. Первый этап атаки включает загрузку HTA-файла ("hxxp://107[.]172[.]235[.]203/245/wecreatedbestsolutionswithniceworkingskill.hta"), который создаёт BAT-файл ("C:\Windows\Temp\invertase.bat"). Последний, в свою очередь, генерирует и запускает VBS-скрипт ("C:\Windows\Temp\poikilohydric.vbs").
VBS-скрипт выполняет HTTP-запрос к ресурсу "hxxp://paste[.]ee/d/tifhAljb/0", откуда загружается длинный VBA-код (SHA-256: "352ef6f5c4568d6ed6a018a5128cf538d33ea72bd040f0fd3b9bca6bd6a5dae9"). Этот код запускает PowerShell-скрипт, который загружает изображение ("hxxps://zynova[.]kesug[.]com/new_image.jpg"). На этом этапе и проявляется стеганография: вредоносная полезная нагрузка скрыта внутри картинки между метками "INICIO>>" и "<<FIM>>".
Анализ изображения показал, что оно содержит Base64-кодированный PE-файл (исполняемый модуль), который позже декодируется и загружается в память. Расшифрованная вредоносная DLL (SHA-256: "5a73927d56c0fd4a805489d5817e1aa4fbd491e5a91ed36f4a2babef74158912") относится к семейству Katz Stealer - троянцу, предназначенному для кражи конфиденциальных данных.
Атака демонстрирует несколько тревожных тенденций:
- Использование стеганографии позволяет злоумышленникам обходить традиционные средства защиты, такие как антивирусы и межсетевые экраны, так как вредоносный код маскируется под легитимные файлы.
- Многоэтапная загрузка усложняет обнаружение: каждый этап атаки минимально подозрителен сам по себе, но в совокупности они приводят к полному компрометированию системы.
- Эксплуатация офисных документов остаётся актуальной, несмотря на ужесточение политик Microsoft. Киберпреступники находят способы обходить ограничения, используя сложные цепочки выполнения кода.
Злоумышленники продолжают совершенствовать свои методы, и только комплексный подход к безопасности поможет снизить риски заражения. Обнаружение подобных угроз требует не только автоматизированных систем, но и экспертного анализа, чтобы вовремя выявлять скрытые техники атак.
Этот случай - ещё одно напоминание о том, что киберпреступники активно используют сложные техники обхода защиты, и традиционных антивирусных решений уже недостаточно. Безопасность должна быть многослойной, включая как технические, так и организационные меры.
Индикаторы компрометации
URLs
- http://107.172.235.203/245/wecreatedbestsolutionswithniceworkingskill.hta
- http://paste.ee/d/tifhAljb/0
- https://zynova.kesug.com/new_image.jpg
SHA256
- 352ef6f5c4568d6ed6a018a5128cf538d33ea72bd040f0fd3b9bca6bd6a5dae9
- 5a73927d56c0fd4a805489d5817e1aa4fbd491e5a91ed36f4a2babef74158912
