Аналитический центр безопасности АнЛаб (ASEC) обнаружил распространение вредоносной программы XLoader через письма, казусно замаскированные под запросы подтверждения заказов.
Описание
Злоумышленники отправляют письма с приложенным DOCX-файлом, содержащим уязвимость MS Equation Editor (CVE-2017-11882), после использования которой начинает работать информационный похититель XLoader, созданный HorusProtector.
HorusProtector является коммерческим защитником, известным своим распространением вредоносных программ. В данном случае он распространяется через фишинговые письма, содержащие документы MS Office с уязвимостью Equation Editor. После выполнения DOCX-файла через вредоносный RTF-документ и VBE-код, запускается вредоносная программа, при этом используется реестр и PowerShell для создания исполняемых файлов.
Вредоносная программа XLoader, идентифицированная в результате атаки, является видом инфостиллера, он начинает работать после выполнения всех предшествующих этапов атаки. Важно отметить, что уязвимости как MS Equation Editor все еще используются злоумышленниками, что свидетельствует о необходимости поддержания безопасности в среде Office.
Индикаторы компрометации
MD5
- 10773549f9ba9f8be361356e6a406618
- 242ec1c492acc3189806457e0cd09ef1
- 30671e17c3b3a2af1e086947cd6fb639
- 33610798ab021043d920f3fe6196bb91
- 44523287aaa954cf2ace3817e4d69079