Microsoft Word охоронної береться за справу Операція Поні-експрес - Naked Security

Sophos Home protects every Mac and PC in your home

Microsoft Word охоронної береться за справу: Операція Поні-експрес

справу

береться

Ми написали кілька доповідей за минулий рік про шкідливих інструментарію, що використовується Microsoft Word як засіб доставки.

Ідея полягає в тому, щоб упакувати шкідливого всередині документа Word, таким чином, що файл виглядає безневинною, без макросів (Word коду програми), не вбудованих програм, або іншого контенту, який може зробити це добре поінформований користувач думаю, "я не натиснувши на що”.

Замість цього, файл замінований в одному або кількох способів, так що якщо ви не виправлено Слово нещодавно Внутрішнє планування файлу поїздки до програми Word.

Це викликає помилку, відому як уразливість, і викликає Слово до краху.

Інфекція комплект, відомий як Microsoft Word Intruder (MWI), намагається спорудити ці збої, так що саме по собі ММІ приймає контроль над Словом під час аварії, таким чином, експлуатуючи вразливість для встановлення шкідливих програм.

береться

Адже документи мають бути дані, і дані мають бути безпечними.

Бізнес модель

Ідея в тому, що шахраї з шкідливими програмами, які вони хочуть поширювати платити скромну плату Objekt, прізвисько злочинця за ММІ.

Потік доходів Об'єкт надходить з упаковки та розповсюдження шкідливих програм інших людей, не від шкідливої ​​програми.

Він "офіційно" оголосив, що він не зацікавлений у величезних шкідливих кампаній з масивними цілями інфекції, воліючи жити спокійним життям на околицях:

Об'єкт, здається, пропонує бутик-обслуговування, що він сподівається, споживають менше уваги до себе, і такимчином доставити повертається довше.

→ Пам'ятаєте, коли з'явилися новини про інтернет-Worm, чи Code Red, чи Blaster, чи Stuxnet, чи Heartbleed? Після того, як шкідливі інциденти отримати масивне освітлення в засобах масової інформації, зазвичай є "всі руки на палубі" відповідь. Шкідливі програми великий квиток отримує знищені швидко, що може мати парадоксальний ефект, залишаючи менш добре відомі шкідливі програми, непомітно в тіні.

Таким чином, це цікаво подивитися на деякі з шкідливих кампаній, які вибрали в якості свого MWI системи доставки.

Поні Експрес

Поні Експрес використовується спис-фішинг кампанії, в якій замінований RTF (Rich Text Format) документи були надіслані потенційним жертвам.

Спис-фішинг, також відомий як "цілеспрямований напад", означає відправлення підроблених електронних листів, заражених цим кільцем якийсь дзвін з одержувачем.

справу

Типові кампанії у цій операції спрямовані лише кілька сотень жертв, із різною швидкістю успіху.

Наскільки ми можемо судити, близько 30% користувачів, які відкрили заміновані файли в результаті інфікованих.

Ми знайшли низку документів, що стосуються цієї атаки, з такими іменами, як:

береться

Як можна зрозуміти з назви, зловмисники використовували відомий прийом підроблених рахунків-фактур, а також тему Ringcentral.

Документи MWI, що використовуються в цій операції, були всі завантажувачі.

Замість того, щоб остаточний шкідливих корисного навантаження упакованого всередині замінованого документа (те, що відомо як крапельниці), кампанія Поні Експрес працював по "дзвонити додому" до серверів, де шкідливі програми зберігалися для розповсюдження.

Встановлені кориснінавантаження прийшли із сімейств шкідливих програм Fareit, Rovnix, Wauchos та Dyzap.

Відстеження кампаній

Індикатор MWI інструментарій включає компонент, званий MWISTAT, який ми описали, перш ніж дозволяє шахраїв (а іноді і хороші хлопці!), щоб відстежувати заражених комп'ютерів.

Операція Поні Експрес був одним із небагатьох випадків, коли ми бачили злочинців передачі своїх поточних кампаній з одного сервера на інший MWISTAT, що призвело до деяких цікавих спостережень.

У ході операції було використано такі сервери:

Усі домени мали ж реєстраційну інформацію:

Після того, як документ ММІ завершив своє завдання доставки шкідливих програм, остаточне шкідливі програми, як правило, пов'язано десь ще, як ми бачили з Fareit, Rovnix, Wauchos та Dyzap троянів identifed вище.

Ці трояни використовують інший список командно-контроль серверів (C & C):

Ці домени були зареєстровані або з такими ж даними, як сервери MWISTAT, або хтось збирається по:

Звичайно, це не означає, що шахраї за операції дійсно називають Андрій і Valeryy, або навіть, що вони знаходяться в Україні.

Дійсно, два сервери вище, які визначені за кількістю IP, а не по імені у різних місцях:

word

Документ та рахунок-фактура тема очевидна.

Операція Поні Експрес був переважно спрямований на США, як ви могли б очікувати, виходячи з використання RingCentral (американська компанія) як камуфляж.

Близько половини з комп'ютерів, які закінчилися інфікованих, були в Америці, з Великобританії, Канади, Китаю та Франції наступний за списком:

word

Проте, як ви можете бачити, є жертви у десятках іншихкраїн, теж, так що, навіть якщо зловмисники мають особливий інтерес в одній країні, це не означає, що інші з нас може розслабитися.

Розумно припустити, що ММІ був лише один спосіб, що ці злочинці намагалися розповсюджувати шкідливі програми – переважно троянські програми, спрямовані на крадіжку банківської інформації.

Але їх скромно розміру кампанії MWI були, проте успішно, до 30% жертв, які були змушені відкрити вкладення було заражено.

Оновлена ​​система не буде мати помилок, необхідних для ММІ працювати, таким чином блокуючи подвиг, перш ніж він навіть почав.

Не один із 30%… Патч рано, патч часто!

Follow@NakedSecurity on Twitter для останньої комп'ютерної безпеки.

Follow@NakedSecurity on Instagram для exclusive pics, gifs, vids and LOLs!