Исследователи компании FireEye сообщили о новой киберпреступной операции под названием Felixroot. Злоумышленники внедряют бэкдоры на ПК под управлением Windows через старые уязвимости в Microsoft Office с целью шпионажа и похищения файлов.
Кампания нацелена на ПК украинских пользователей. Вредоносное ПО Felixroot попадает на атакуемые системы через фишинговые письма с вредоносным вложением. Вложение представляет собой документ со встроенным эксплоитом (к примеру, Seminar.rtf), посвященный семинару по защите окружающей среды.
Фишинговые письма написаны на русском языке и отправлены якобы из Казахстана. Выбор темы свидетельствует о том, что хакеры нацелены на вполне определенных пользователей. Эксперты связали данную кампанию с предыдущей, в ходе которой злоумышленники также использовали вредоносное ПО Felixroot и атаковали украинских пользователей.
Для внедрения бэкдора злоумышленники используют две уязвимости в Microsoft Office – CVE-2017-0199 и CVE-2017-11882. Первая из них позволяет загружать и выполнять скрипт Visual Basic, содержащий команды PowerShell, когда жертва открывает документ со встроенным эксплоитом. Вторая уязвимость позволяет запускать произвольный код и захватывать контроль над атакуемой системой.
Бэкдор использует кастомное шифрование и загружается непосредственно в память, минуя диск, что позволяет ему оставаться незамеченным. После установки в памяти Felixroot в течение 10 минут остается неактивным. Затем вредонос ищет команды для выполнения и подключается к C&C-серверу, куда пересылает похищенные файлы.
После того, как Felixroot получает и передает на сервер необходимые данные, вредоносный процесс завершается, и все следы присутствия на системе вредоносного ПО удаляются. То есть, даже в случае обнаружения атаки отследить ее источник будет невозможно.

Источник: securitylab.ru