IPB
X   Сообщение сайта
(Сообщение закроется через 2 секунды)

Здравствуйте, гость ( Авторизация | Регистрация )


> Отключи макросы в Word'е....
hook
сообщение 28.01.2019 - 12:16
Сообщение #1


Уже не экспат
**********

Текущее настроение:

Вст. ник | Цитата

Группа: Легенда
Сообщений: 14011
Регистрация: 14.06.2011
Пользователь №: 46131
Из: Везде

Награды: 33
Подарки: 269

Пол: М


Репутация:   2827  



GandCrab Ransomware и вирус Ursnif распространяются с помощью макросов MS Word



Исследователи в области безопасности обнаружили две вредоносные кампании, одна из которых распространяет троян Ursnif предназначенный для кражи данных и распространяет вымогатель GandCrab, тогда как вторая заражает жертв вредоносным ПО Ursnif.

Хотя обе вредоносные кампании, по-видимому, являются работой двух отдельных групп киберпреступников, мы обнаруживаем в них много общего. Обе атаки начинаются с фишинговых писем, содержащих прикрепленный документ Microsoft Word, в который встроены вредоносные макросы, и затем используют Powershell для доставки вредоносных программ без файлов.
Ursnif — это вредоносное ПО для кражи данных, которое, как правило, крадет конфиденциальную информацию со скомпрометированных компьютеров с возможностью сбора банковских учетных данных, осуществляет сбор нажатий клавиш, информации о системе и процессах и обеспечивает возможность развертывания дополнительных бэкдоров. Обнаруженный ранее в прошлом году, GandCrab представляет собой широко распространенную угрозу вымогателей, которая, как и любая другая программа-вымогатель на рынке, шифрует файлы в зараженной системе и настаивает на том, чтобы жертвы платили выкуп в цифровой валюте, чтобы разблокировать их. Его разработчики запрашивают платежи в основном в DASH, которые сложнее отслеживать.

MS Docs + VBS макросы = инфекция Ursnif и GandCrab

Первая вредоносная кампания, распространяющая две вредоносные угрозы, была обнаружена исследователями безопасности из Carbon Black, которые обнаружили в дикой природе примерно 180 вариантов документов MS Word, предназначенных для пользователей с вредоносными макросами VBS.
В случае успешного выполнения вредоносный макрос VBS запускает сценарий PowerShell, который затем использует ряд методов для загрузки и выполнения Ursnif и GandCrab в целевых системах.



Сценарий PowerShell закодирован в base64, который выполняет следующий этап заражения, который отвечает за загрузку основных вредоносных программ для взлома системы.
Первая полезная нагрузка представляет собой однострочную оболочку PowerShell, которая оценивает архитектуру целевой системы и затем соответственно загружает дополнительную полезную нагрузку с веб-сайта Pastebin, который выполняется в памяти, что затрудняет традиционным антивирусным методам обнаружение действий.
«Этот скрипт PowerShell является версией модуля Empire Invoke-PSInject с очень небольшим количеством модификаций», — говорят исследователи из Carbon Black. «Сценарий использует встроенный PE [Portable Executable] файл, который был закодирован в base64, и вставит его в текущий процесс PowerShell».
Окончательная полезная нагрузка затем устанавливает вариант вымогателя GandCrab в систему жертвы, блокируя ее из своей системы, пока они не заплатят выкуп в цифровой валюте.
В то же время вредоносная программа также загружает исполняемый файл Ursnif с удаленного сервера и после запуска проверяет систему, отслеживает трафик веб-браузера для сбора данных, а затем отправляет его на сервер (C & C) злоумышленников.
Многочисленные варианты Ursnif были размещены на сайте bevendbrec [.] com во время этой кампании. Carbon Black удалось обнаружить приблизительно 120 различных вариантов Ursnif, которые размещались на доменах iscondisth [.] com и bevendbrec [.] com.

MS Docs + VBS макросы = вредоносная программа для кражи данных

Аналогично, вторая вредоносная кампания, обнаруженная исследователями безопасности в Cisco Talos, использует документ Microsoft Word, содержащий вредоносный макрос VBA, для доставки другого варианта того же вредоносного ПО Ursnif.



Эта вредоносная атака также ставит под угрозу целевые системы в несколько этапов, начиная от фишинговых писем и заканчивая вредоносными командами PowerShell, чтобы получить постоянство без файлов, а затем загружая и устанавливая компьютерный вирус Ursnif, крадущий данные.
«Команда [PowerShell] состоит из трех частей. Первая часть создает функцию, которая позже используется для декодирования PowerShell в кодировке base64. Вторая часть создает байтовый массив, содержащий вредоносную DLL», — пояснили исследователи Talos.
«Третья часть выполняет функцию декодирования base64, созданную в первой части, с кодированной строкой base64 в качестве параметра функции. Возвращенная декодированная оболочка PowerShell впоследствии выполняется с помощью сокращенной функции Invoke-Expression (iex)».
После запуска на компьютере жертвы вредоносная программа собирает информацию из системы, помещает ее в формат файла CAB и затем отправляет ее на свой командно-контрольный сервер через защищенное соединение HTTPS.
Исследователи Talos опубликовали в своем блоге список показателей компрометации (IOC), а также имена файлов полезных данных, сброшенных на скомпрометированных машинах, которые могут помочь вам обнаружить и остановить вредоносное ПО Ursnif до того, как оно заразит вашу сеть.


securitylab.ru







--------------------
Не говори что мне делать и я не скажу куда тебе идти.


--------------------
Подарки: (Всего подарков: 269 )
Подарок
Подарил(а): Артиша
Подарок
Подарил(а): Варвара
Подарок
Подарил(а): льдинка




Go to the top of the pageGo to the end of the page
 
+Quote Post

Сообщений в этой теме


Reply to this topicStart new topic
1 чел. читают эту тему (гостей: 1, скрытых пользователей: 0)
Пользователей: 0

 




> Статистика
Board Stats

Подарок форуму

10 евро

100 евро

10000 евро

1000000eur

  


Текстовая версия Сейчас: 19.04.2023 - 16:29