В рамках фишинговой кампании киберпреступники используют PDF-документы для распространения вредоносного ПО Separ с целью кражи учетных данных пользователей. Согласно исследованию ИБ-компании Deep Instinct, атаки начались в конце января и затронули около 200 компаний и более 1 тыс. пользователей в Юго-Восточной Азии, на Ближнем Востоке и в Северной Америке.

В ходе атаки распространители вредоносного ПО Separ применяют простую, но эффективную тактику, включающую сочетание использования легитимных исполняемых файлов и коротких скриптов.

«Хотя механизм атаки, используемый этим вредоносным ПО, очень прост, и злоумышленники не предприняли никаких попыток уклониться от анализа, рост числа жертв показывает, что простые атаки могут быть очень эффективными», — отметил ИБ-эксперт Deep Instinct Гай Проппер (Guy Propper).

Первые варианты Separ существовали c ноября 2017 года, а версии, на основе которых было создано вредоносное ПО, активны с 2013 года. Данные злоумышленники используют простую, но хитрую тактику, получившую название «living off the land», предусматривающую использование легитимных инструментов для исполнения вредоносных действий.

Особенностью атак является использование очень коротких скриптов, пакетных и легитимных выполняемых файлов. Атака начинается с фишинговой отправки сообщений с вредоносным PDF-документом на электронную почту. Для привлечения внимания жертв темы писем чаще всего связаны с различными цитатами, спецификациями оборудования или поставками.

После того как жертва откроет вложенный «PDF-документ», запускается VBS-скрипт, который, в свою очередь, исполняет ряд коротких пакетных файлов, замаскированных под связанные с Adobe программы. Данные файлы выполняют несколько вредоносных функций, в том числе изменяют настройки межсетевого экрана и похищают учетные данные. Для сокрытия активности вредонос открывает пустой файл .jpeg. Сбор учетных данных осуществляется с помощью инструмента SecurityXploded, далее информация по FTP загружается на легитимный сервис под названием FreeHostia.

Исследователи рекомендуют компаниям ограничить использование скриптов и инструментов скриптинга, а также не переходить по неизвестным и недоверенным ссылкам.

Источник: securitylab.ru