Эксперты по ИТ-безопасности обнаружили новую вредоносную кампанию, в ходе которой злоумышленники атакуют банки трояном для удаленного доступа FlawedAmmyy, — говорится в отчете компании Trustwave.
Отличительной особенностью данной кампании является необычное использование файлов Microsoft Office Publisher для инфицирования систем жертвы.
Эксперты заметили аномальный всплеск количества электронных писем с вложениями в формате .pub и темой «Совет по платежам». Письма были отправлены на принадлежащие различным банкам домены.
В спамовых сообщениях содержатся URL, при переходе по которым загружается троян для удаленного доступа FlawedAmmyy. Еще одним интересным аспектом кампании является использование ботнета Necurs.
«Данная кампания была необычной в плане использования .pub-файлов. Похоже, что рассылка осуществлялась с помощью ботнета Necurs, ответственного за массовое распространение вредоносных программ в прошлом», — следует из отчета.
Когда жертвы открывают файл .pub, им предлагается «Включить макросы», более ранние версии Microsoft Publisher могут отображать инструкции «Включить редактирование» и «Включить контент».
При открытии редактора Visual Basic (редактор VBA) в Microsoft Publisher и нажатии «ThisDocument» в Project Explorer VBScript запускает архив, содержащий троян.
«Сценарий макроса запускается с помощью функции Document_Open (). Когда файл открывается, скрипт будет обращаться к URL-адресу и выполнять загруженный файл», — отметили специалисты.
