Malspam kampanye menggunakan Microsoft Publisher file untuk serangan Bank

Computer Security News

Pakar keamanan Trustwave telah terdaftar kampanye tidak biasa malspam menyerang Bank dengan FlawedAmmyy RAT.

Apa yang menarik tentang kampanye ini adalah penggunaan file Microsoft Office Publisher untuk menginfeksi komputer korban.

Para peneliti keamanan terdaftar lompatan besar dalam jumlah email yang berisi file Microsoft Office Publisher (.pub lampiran) dan baris subjek, “Pembayaran nasihat,” yang dikirim ke domain bank.

Terlepas dari kenyataan bahwa kampanye malspam ini tidak besar sama sekali, itu sangat terfokus pada Bank.

Pesan spam didistribusikan berisi URL yang download trojan backdoor terkenal FlawedAmmyy (tikus).

Menurut para ahli, kampanye didukung oleh Necurs botnet.

“Kampanye ini adalah tidak biasa dalam penggunaan file .pub. Itu juga tampaknya berasal dari Necurs botnet, botnet terkenal yang bertanggung jawab untuk banyak distribusi massa malware di masa lalu,” Trustwave analisis Serikat.

“Tidak seperti sebelumnya kampanye massa, kampanye ini adalah kecil dan, menariknya, Semua untuk: alamat kami melihat ditargetkan adalah domain milik Bank, menunjukkan keinginan untuk para penyerang mendapatkan pijakan dalam bank dengan FlawedAmmyy RAT.”

Segera setelah korban membuka pub file, mereka diminta untuk “Mengaktifkan Macro,” versi sebelumnya dari Microsoft Publisher mungkin menampilkan petunjuk untuk “Mengaktifkan pengeditan” dan “Mengaktifkan konten”.

Setelah secara manual membuka Visual Basic Editor (VBA Editor) di Microsoft Publisher dan mengklik “ThisDocument” dalam proyek Explorer, VBScript mengeksekusi sebuah weaponized arsip yang berisi tikus.

“Script makro dipicu dengan fungsi Document_Open(). Seperti namanya, ketika file dibuka, script akan mengakses URL dan mengeksekusi file yang didownload.” Para peneliti analisis membaca.

URL disimpan di properti Tag, dan kode berbahaya memanfaatkan kontrol objek dalam bentuk untuk menyembunyikan URL yang mingguan tikus.

“Pada saat kami memeriksa sampel, URL adalah tidak dapat diakses lagi, tapi sedikit lebih jauh penelitian menunjukkan URL ini digunakan untuk men-download arsip yang self-extracting, yang berisi FlawedAmmyy RAT,” para ahli menyatakan.

Bulan lalu, para peneliti Proofpoint terdaftar lain kampanye besar malspam mendistribusikan FlawedAmmyy RAT yang telah memanfaatkan email dengan weaponized dokumen PDF yang berisi file SettingContent-ms yang berbahaya.

Kampanye Juli diatribusikan kepada kelompok finansial termotivasi cybercriminal TA505.


Leave a Reply

Your email address will not be published. Required fields are marked *