Киберпреступники изобрели новую технику сокрытия вредоносного кода в макросах

Тема в разделе Новости Интернета/Hi-Tech, создана пользователем Hesoyam, 1 июн 2016.

Войдите для ответа
  1. Hesoyam Заблокирован

    Hesoyam
    Статус:
    Вне сети
    Сообщения:
    52
    Симпатии:
    1
    Регистрация:
    01.06.16
    Исследователи из Центра Microsoft по защите от вредоносных программ (Microsoft Malware Protection Center) обнаружили документ Microsoft Word, содержащий новый вариант из семейства вредоносных макросов Trojan Downloader:O97M/Donoff. Для того чтобы файл выглядел безобидно и не вызывал у жертвы подозрения, вирусописатели применили новую технику для сокрытия вредоносного кода.

    Документ содержал семь VBA-модулей и пользовательскую форму VBA с тремя кнопками управления. Модули были замаскированы под легитимные SQL-программы с активной и якобы безобидной макрос-функцией. Однако в ходе более тщательного анализа пользовательской формы в поле Caption обнаружилась подозрительная строка, оказавшаяся зашифрованной. Как оказалось, в строке был зашифрован URL (hxxp://clickcomunicacion.es/<uniqueid>), ведущий на содержащую вымогательское ПО Locky страницу.

    Вредоносное семейство Donoff существует уже несколько лет и распространяется в спам-кампаниях, в ходе которых злоумышленники используют различных методы социальной инженерии в попытках заставить пользователей открыть вредоносные вложения. Так же как Bartallex, Dridex и прочие вредоносы, Donoff по сути является загрузчиком, применяемым преступниками для инфицирования целевых систем другим вредоносным ПО.
     
    1 июн 2016 #1
Top