Розсилання шкідливих електронних листів з вкладення типу .doc що містять макроси. За допомогою макросів запускається powershell-скрипт який містить декілька посилань для завантаження екземпляру зловмисного трояна EMOTET.

У вкладенні листів знаходяться документи .docx які при відкритті завантажують за зовнішнім посиланням. Шкідливий виконуваний файл який зберігається в системі GdCvWYKodvy.bin, закріплюється за допомогою regsvr32.exe та запускається на виконання. Після закріплення в системі зловмисне ПЗ виконує ін’єкцію коду в системний процес.

Шкідливе програмне забезпечення розроблене для збору і викрадення інформації про систему, даних користувача із браузерів, поштових клієнтів, даних про крипто гаманців. За допомогою вкладених ole-обєктів, що містять шкідливий скрипт для завантаження із сервера webinsel.at виконуваного шкідливого файлу file.exe, що зберігається до директорії C:\Users\admin\AppData\Roaming\ і є екземпляром Raccoon stealer.

За допомогою вкладених шкідливих обфускованих макросів запускається powershell.exe та завантажується за зовнішнім посиланням шкідливий виконуваний файл. Шкідливий зразок є екземпляром #ursnif, що є поширеним екземпляром банківського трояна.

Зловмисники масово надсилають електронні листи, що імітують листи від існуючих організацій, надсилаючи рахунки-фактури та підтвердження замовлень, в якому передається шкідливий файл Excel або Word, що експлуатує популярну вразливість CVE-2017-11882

Зафіксовано розсилання шкідливих електронних листів, містять вкладення у вигляді веб-сторінки, який дозволяє після авторизації переглянути excel-документ, а насправді відбувається збір та пересилання авторизаційних даних на зловмисні ресурси.

Повідомляємо, що відбулося розсилання шкідливих електронних листів, що містять вкладення типу .xlsx за допомого експлуатації вразливості редактора формул CVE-2017-11882, використовуючи вкладений ole-об’єкт

Повідомляємо, що відбувається розсилання шкідливих електронних листів від імені "Державної фіксальної служби України", що містять шкідливий документ типу msword із VBA-макросами.

Розсилання з шкідливими js сценаріями, при виконанні якого відбувається перехід на зовнішнє посилання та відбувається завантаження шкідливого програмного забезпечення. Шкідливий файл перезапускається як .tmp, при цьому перевіряє ІР-адресу комп’ютера, додається в автозавантаження, завантажує інструкції для зашифрованого комп’ютера, зашифровує файли користувача.

Відбулося розсилання шкідливих електронних листів, що містять вкладення типу .doc яке експлуатує вразливість CVE-2017-11882. Файли здійснюються спроби збору та викрадення збережених паролів в браузерах, ftp, поштових клієнтах.