Kampania malware na exploit w MS Office
Przeszło pół roku temu informowaliśmy o podatności w Edytorze Równań Microsoft Office, pozwalającej na wykonanie zaszytego w dokumencie złośliwego kodu bez interakcji z użytkownikiem i bez jego wiedzy. Dziś trafił do CERT Orange Polska trafił wykorzystujący ją mail phishingowy.
Opisywana kampania wykorzystuje znany – i wydawałoby się zgrany – motyw na „panie, skąd ta płatność?!”.
Jeśli damy się złapać i odruchowo otworzymy załączony plik payment SLIP.docx, sam dokument okaże się pusty, a exploit wywoła następujące akcje:
request OPTIONS hxxp://31.220.40.22/~bvcgroup/
request HEAD hxxp://31.220.40.22/~bvcgroup/Drawing.doc
request OPTIONS hxxp://31.220.40.22/~bvcgroup
request GET hxxp://31.220.40.22/~bvcgroup/Drawing.doc
request GET hxxp://31.220.40.22/~bvcgroup/00011111.exe
Plik exe to – jak można się spodziewać – malware, zaś plik doc, który po otwarciu wygląda tak:
zawiera kolejnego exploita. Analizy wykazują, że złośliwy kod serwowany w tej kampanii to Trojan Sirefef, znany także jako ZeroAccess. Jego najbardziej znane aktywności to zmienianie wyników wyszukiwania, podmienianie reklam na przynoszące zysk przestępcom, a także używanie komputera ofiary do kopania kryptowaluty. Przestrzegamy jednak przed jego niedocenianiem – jeśli nasz komputer zostanie przejęty, tylko od przestępcy zależy, co w kolejnym kroku na nim zainstaluje.
Adresy powiązane z opisywaną kampanią są zablokowane przez CyberTarczę, więc jeśli korzystasz z sieci Orange Polska, malware nie będzie w stanie pobrać kolejnych komponentów. Jeśli nie masz pewności, czy nie jesteś ofiarą ataku – zajrzyj na https://cert.orange.pl/cybertarcza i sprawdź.
Przestępcom dziękujemy za wysyłanie phishingów na Abuse’a i prosimy o kolejne.