Злочинці поширюють трояни RevengeRAT і njRAT через ODT-файли

16:24
Злочинці поширюють трояни RevengeRAT і njRAT через ODT-файли

    Дослідники безпеки з команди Cisco Talos виявили кілька шкідливих кампаній, які використовують файли OpenDocument Text (ODT) для поширення шкідливих програм, які зазвичай блокуються антивірусними рішеннями. Атаки націлені на англомовних і арабомовні користувачів.

     ODT-файли являють собою архіви, в яких можуть зберігатися текст, зображення і XML-файли, які використовуються Microsoft Office і аналогічним програмним забезпеченням (LibreOffice, Apache OpenOffice). Деякі антивірусні програми сприймають ODT-файли як стандартні архіви і не відкривають документ, як у випадку з файлами Microsoft Office. Це дозволяє злочинцям завантажувати шкідливе ПЗ на цільову систему.
    В одній з кампаній, націлених на користувачів Microsoft Office, кіберзлочинці вбудовували OLE-об'єкти (технологія зв'язування та впровадження об'єктів) в документи ODT. OLE-об'єкти запускали HTA-файли, які завантажили трояни для віддаленого доступу (RAT) RevengeRAT і njRAT з популярного арабського хостингу файлів (top4top [.] Net).

     У другій кампанії злочинці використовували ODT-файли для завантаження програми для розкрадання даних AZORult. Процес зараження задіює OLE-об'єкт, який завантажує виконуваний файл, замаскований під Spotify (Spotify.exe). Він являє собою двійковий файл, запакований за допомогою таких утиліт, як Goliath, babelfor.NET і 9rays. Після розпакування файлу система виявляється зараженої трояном AZORult.
В рамках третьої кампанії зловмисники атакували користувачів OpenOffice і LibreOffice. Кіберзлочинці використовували «еквівалент макросів в документах Microsoft Office, реалізований в програмному забезпеченні з відкритим вихідним кодом StarOffice Basic». StarOffice — застаріле ПЗ, остання версія якого була випущена в 2008 році. Однак на основі її коду була створена програма OpenOffice.org, спадкоємцем якої є Apache OpenOffice.
    За словами дослідників, шкідливий макрос використовується для вилучення і запуску «plink443.exe», який встановлює зв'язок по SSH. В даний час неясно, навіщо зловмисники встановлюють SSH-канал, оскільки в атаці використовується IP-адреса локальної мережі.

Також дослідникам не вдалося з'ясувати, який саме шкідливий завантажується на систему.

Комментарии 0

Предпросмотр
Завантаження...
Будьте первым, кто оставит комментарий.