Специалисты команды Cisco Talos обнаружили новую спам-кампанию по распространению вредоносного ПО Fareit, использующегося для эксфильтрации данных, например, хищения пользовательских паролей из браузеров. О функционале Fareit уже известно довольно многое, однако в данном случае внимание специалистов привлек метод распространения трояна, а именно – необычный для подобных случаев формат вредоносного файла, прикрепленного к спам-сообщениям.
В частности, злоумышленники рассылали содержащие счета электронные письма, якобы от банка HSBC. К сообщению был прикреплен MHTML-документ (MIME HTML). MHTML – архивный формат web-страниц, используемый для комбинирования кода HTML и ресурсов, которые обычно представлены в виде внешних ссылок, в один файл. MHT-файл использовался для загрузки расширения HTA, которое в свою очередь загружало Visual Basic-скрипт и вредоносное ПО Fareit.
Как стало известно ранее, операторы вредоносного банковского трояна Dridex также экспериментируют с методами распространения вредоноса. Если прежде троян распространялся с помощью ботнета из взломанных компьютеров Necurs, то сейчас для рассылки спама злоумышленники используют скомпрометированные легитимные серверы. (Cisco Talos/NovostIT)