Мир: Злоумышленники распространяют троян Kasidet через макросы Microsoft Office

2

С недавних пор злоумышленники возродили интерес к макросам Microsoft Office, активно используемым для распространения банковских троянов, а в последнее время и вредоноса BlackEnergy. По информации исследователей из американской компании zScaler, данную технику применяют операторы трояна Kasidet, также известного как Neutrino.


Вредоносные макросы Office распространяются в виде вложений в фишинговые письма. По наблюдениям zScaler, за последние две недели активность вредоносной спам-кампании значительно возросла. Помимо Kasidet, тот же VBA-дроппер загружает банковский троян Dridex.

Вредонос Kasidet известен с 2013 г. и до недавнего времени использовался для осуществления DDoS-атак. Предположительно, в сентябре прошлого года авторы вредоносного ПО добавили функции хищения данных.

По сравнению с более ранними версиями Kasidet, обнаруженный исследователями вариант обладает более широкими возможностями. Вредонос способен похищать конфиденциальную информацию как из браузеров (перехватом API), так и из памяти PoS-систем. Помимо прочего, Kasidet собирает сведения о названии и версии системы, наличии антивируса и т.д. Все похищенные данные вредонос отправляет на C&C-серверы из списка, содержащегося в коде в виде зашифрованных URL.

Совместная загрузка Kasidet и Dridex вовсе не указывает на взаимосвязь между двумя кампаниями. “Вредоносные документы Malicious Office – популярные у вирусописателей векторы доставки полезной нагрузки. Авторы Dridex используют данную технику уже больше года. Было интересно обнаружить кампанию с применением похожих методов для распространения Kasidet”, – отметили исследователи. (zScaler/NovostIT)