Эксперты Malwarebytes Labs обнаружили новую кампанию по кибершпионажу, направленную на одну из правительственных организаций в Саудовской Аравии. Основная особенность атак заключается в использовании скриптов вместо бинарной полезной нагрузки для сохранения присутствия на скомпрометированных компьютерах и связи с управляющим сервером.
В рамках кампании атакующие рассылают электронные письма с гербом Саудовской Аравии, содержащие документ MS Word с вредоносным макросом и рядом строк, закодированных с помощью Base64. Для просмотра письма пользователю предлагается активировать макрос.
После того, как жертва откроет документ, содержащийся в нем скрипт VBScript пытается отключить или изменить настройки безопасности Microsoft Excel и Word путем модификации соответствующих ключей реестра. Скрипт также определяет IP-адрес жертвы, а затем загружает данные с сайта Pastebin, используя собственный прокси.
Загруженные данные конвертируются в два скрипта — PowerShell и Visual Basiс. Последний используется для сохранения присутствия на целевой системе, а также запуска скрипта PowerShell. Оба скрипта хранятся в папке «Документы» как скрытые системные файлы.
Скрипт PowerShell также может изменять настройки безопасности Microsoft Office, но его основная функция – эксфильтрация данных и связь с C&C-сервером.
По словам исследователей, данная атака существенно отличается от типичного вредоносного спама, распространяющего Locky или какой-либо банковский троян. Судя по отсутствию вредоносной полезной нагрузки (хотя она может быть загружена с управляющего сервера), атакующие пытаются скрыть свое присутствие, собирая информацию с целевого компьютера.

Источник: securitylab.ru