Eksperci z Carbon Black i z Cisco Talos odkryli dwie kampanie o podobnym wektorze ataku, opierającym się o zainfekowane makra w dokumentach MS Word. O sprawie donosi serwis The Hacker News.
W przypadku GrandCrab, będącym ransomware, wykryto aż 180 wariantów zainfekowanych makrami VBS (Microsoft Visual Basic Scripting Edition – dość stary język, jako nietrafiona alternatywa dla javascript, wykorzystywany wciąż obecnie m. in. w formularzach MS Outlook) odmian plików MS Word. Owe makra są w stanie uruchomić skrypt w Powershell, umożliwiający infekcję bez-plikową, która w późniejszym etapie po fazie rekonesansu, będzie chciała ściągnąć złośliwe oprogramowanie. Po infekcji i zaszyfrowaniu komputera ofiary, poprosi o okup przy użyciu płatności krypto-walutowych DASH, co utrudnia namierzenie przestępców.
Ursnif jest zaawansowanym trojanem i spyware ukrywający się w makrach VBA (język podobny do VBS), który pozwala na wykradanie danych bankowych, haseł, historii przeglądarek internetowych, informacje o systemie, a także umożliwia lokowanie kolejnych backdoorów do przyszłych infekcji. Dane są wysyłane w formacie CAB i wysyłane na serwer przestępców.
Pomimo podejrzenia, że za atakami stoją dwie różne grupy hakerów, tak widać wiele podobieństw – w sposobie phishingu (podobne maile), jak i wykonywanie skryptów base64 w Powershell. Poniekąd GrandCrab również ściąga warianty Ursnif, co każe przypuszczać że obie grupy mogły ze sobą współpracować.
Autor: Karol Mondry
Żródła:
carbonblack.com
talosintelligence.com
thehackernews.com
pancernik.it