CERT-AGID зафиксировал новую вредоносную кампанию, использующую троянскую программу Snake Keylogger. Злоумышленники активно эксплуатируют имя Болонского университета, рассылая поддельные документы под названием "Elenco richieste dall’Università di Bologna (BO XXXX)". Файл формата DOCX, на первый взгляд кажущийся безобидным, на самом деле является начальным звеном цепочки заражения.
Описание
Особенностью этой атаки является то, что документ Word не содержит привычных элементов, таких как логотипы или осмысленный текст. Вместо этого внутри файла находится лишь одно бессмысленное слово, что делает его подозрительным для внимательных пользователей. Однако основная угроза кроется в использовании внешней ссылки на документ формата DOC, который уже может содержать макросы. Именно этот метод позволяет злоумышленникам обойти ограничения формата DOCX, не поддерживающего встроенные макросы.
Snake Keylogger - это мощный шпионский инструмент, способный перехватывать вводимые пользователем данные, включая логины, пароли и другую конфиденциальную информацию. После заражения системы вредоносное ПО собирает данные с основных клиентов, таких как браузеры и почтовые программы, а также фиксирует нажатия клавиш. Перед отправкой информации на командный сервер (C2) Snake Keylogger проверяет, не запущены ли на компьютере жертвы 194 процесса, связанных с антивирусными и защитными решениями. Это позволяет ему избежать обнаружения.
Для передачи украденных данных злоумышленники используют протокол SMTP, однако конфигурация вредоносного ПО также предусматривает альтернативные методы эксфильтрации - через FTP или даже напрямую через Telegram-бота. Это делает атаку более гибкой и устойчивой к блокировкам.
Пока у CERT-AGID нет точных данных о масштабах кампании и количестве пострадавших, но эксперты предполагают, что это целенаправленная атака, возможно, направленная на сотрудников образовательных учреждений или связанных с ними организаций. Рекомендуется проявлять повышенную бдительность при получении подозрительных документов, особенно если они приходят из ненадежных источников.
Специалисты по кибербезопасности советуют пользователям отключать автоматическое выполнение макросов в документах Word, регулярно обновлять антивирусное ПО и использовать двухфакторную аутентификацию для защиты учетных записей. В случае обнаружения подозрительной активности следует немедленно сообщить в CERT-AGID или другие профильные организации для предотвращения дальнейшего распространения угрозы.
Эта атака в очередной раз демонстрирует, насколько изощренными становятся методы киберпреступников, использующих социальную инженерию и технические уловки для обхода защиты. Бдительность и соблюдение базовых правил безопасности остаются ключевыми факторами в борьбе с подобными угрозами.
Индикаторы компрометации
IPv4
- 104.168.32.152
Domains
- smtp.citalmet.com.ar
URLs
- http://104.168.32.152/2787/vbc.exe
- http://104.168.32.152/OO.DOC
- http://104.168.32.152/7798/vbc.exe
- http://104.168.32.152/O_O.DOC
MD5
- 26c1c8bc65bc1734c6fbb5c70c6711e5
- 514a008df632272c2e6bb3ea4e54fc83
- 61259b55b8912888e90f516ca08dc514
- 8318aec68f9d4c0a09e9a23c3f66bdc3
- 865004f0278a4301cd6919a58e09c9b2
- 9faddd060caaa8f6b2c285225e9d0fb3
- c2be0d4583bc551a308671709c1e253e
SHA1
- 15bdd0d6897e80ec1bc80800759981b5f46d4935
- 26dc1f074a685c83523ccd4a6ed77fce534ac984
- ad58d9da0bc053b61196ba54d24adf142a6a1b83
- cbe69cca8e39b881847a03a8f1214412d2c3976f
- dc9b67cf7f292f6f8f380ffbf49014bd0db2b526
- f431bc74dbc2de058839c497837bc831f6e6dd71
SHA256
- 1a8ab52bb58371cdfdf171987be0fec8509fab2495da503417eff49567043850
- 73ec76f4e4dfbc1f548ddbc1a5706f12e932f53abc8e30a3f3cc0adb8cc012b0
- 9ec0a5d16ceb38c5068035a1e31cc43267fb0e1bf48437a8dd4829745791fa04
- d037181a9e8d57201e9cd772144f2ce7e7a0b87f7362ccae4e055096ff3ea9b1
- ee1071f45d5e61153dd8e1f2c78ee80928ffc86d7c7657a798099efbcbd9aaf5
- f4caaca12511a364005bffaedeb802d4388e16f1bbf564386760619e9a15dccc
