Исследователи безопасности из компании Trustwave обнаружили новую вредоносную кампанию, в ходе которой злоумышленники атакуют банки трояном для удаленного доступа FlawedAmmyy. Отличительной особенностью данной кампании является необычное использование файлов Microsoft Office Publisher для инфицирования систем жертвы.

Эксперты заметили аномальный всплеск количества электронных писем с вложениями в формате .pub и темой «Совет по платежам». Письма были отправлены на принадлежащие различным банкам домены.

В спамовых сообщениях содержатся URL, при переходе по которым загружается троян для удаленного доступа FlawedAmmyy. Еще одним интересным аспектом кампании является использование ботнета Necurs.

«Данная кампания была необычной в плане использования .pub-файлов. Похоже, что рассылка осуществлялась с помощью ботнета Necurs, ответственного за массовое распространение вредоносных программ в прошлом», — следует из отчета.

Когда жертвы открывают файл .pub, им предлагается «Включить макросы», более ранние версии Microsoft Publisher могут отображать инструкции «Включить редактирование» и «Включить контент».

При открытии редактора Visual Basic (редактор VBA) в Microsoft Publisher и нажатии «ThisDocument» в Project Explorer VBScript запускает архив, содержащий троян.

«Сценарий макроса запускается с помощью функции Document_Open (). Когда файл открывается, скрипт будет обращаться к URL-адресу и выполнять загруженный файл», — отметили специалисты.

Источник: securitylab.ru