Зафіксовано розсилання шкідливих електронних листів, що містять шкідливе вкладення типу .doc, яке експлуатує вразливість cve-2017-11882 для завантаження екземпляру шкідливого програмного забезпечення класу Formbook. Особливістю є використання багатоетапного завантаження з використанням публічного сервісу зберігання текстових даних pastebin.com

Вкладені шкідливі документи ідентичні та експлуатують вразливість CVE-2017-11882 для створення та виконання екземпляру шкідливого файлу LokiBot, файли які містять OLE-об’єкт, що відноситься до класу eQuation.3 (Equation Editor 3.0). Завантажений шкідливий файл перезапускається C:\Users\admin\AppData\Roaming\obhn\yzosn.exe, прописується до автозапуску шляхом створення відповідного сценарію C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\obhn.vbs та намагається отримати доступ до критичної інформації користувача

Відбулось розсилання шкідливих електронних листів, що містять шкідливі вкладення типу rtf та експлуатують відому вразливість CVE-2017-8570 для завантаження екзепляру шкідливого програмного забезпечення типу Hawkeye. Це набір шкідливих програм, що містить інструменти для крадіжки (отримання) конфіденційної інформації з різних програм та стеженням за діями користувача.

Повідомляємо, що відбувається масове розсилання листів, що містять zip-архів із вкладеним файлом типу MS Windows shortcut (*.lnk). У вкладенні знаходиться zip-архів із вкладеним файлом типу MS Windows shortcut Balances_12052019.docx.lnk.

Зафіксовано масове розсилання електронних листів, що містять шкідливий документ, який експлуатує відому вразливість CVE-2017-11882 для завантаження екзепляру шкідливого програмного забезпечення типу AZORult. Azorult - троян-викрадач, здатний на зараженому комп'ютері збирати і відправляти на С2-сервер різні дані: історію браузера, збережені логіни і паролі, файли cookie, файли криптогаманців тощо.

Повідомляємо, що відбувається розсилання шкідливих електронних листів, що містять вкладення типу .xslx. В результаті чого документ експлуатує вразливість cve-2017-11882 для завантаження екземпляру шкідливого файлу

Команда реагування на кіберінциденти в банківській системі України повідомляє про розсилання шкідливих електронних листів, з вмістом rtf-документу (rich text format), який містить вкладений OLE об'єкт.

Повідомляємо, що відбулося масове розсилання шкідливих електронних листів, в якому знахоидться шкідливий виконуваний файл .exe. У вкладенні листів знаходиться архів-iso, що містить виконуваний файл Statement of Account for the month of march.bat.exe.

Повідомляємо, що відбувається розсилання шкідливих електронних листів, що містять у вкладенні шкідливі сценарії JS або архіви (*.gz, *.zip, *.z), що містять сценарії JS, при виконанні яких завантажується шкідливе ПЗ типу #ransomeware. Всі зафіксовані листи розповсюджуються через NDR відповіді (bounce attack).

Повідомляємо, що відбувається розсилання шкідливих електронних листів, що містять вкладення типу .rtf (Rich Text Format - розширений текстовий формат). Даний лист замаскований під офіційну розсилку DHL Express. Вкладений документ експлуатує відому вразливість та завантажує зразок шкідливого програмного забезпечення типу #FormBook.