Хакери запускають шкідливі програми

Кібер-злочинці запустили нову malware-кампанію. Для запобігання свого розкриття та отримання віддаленого доступу системи жертви, хакери використовували AutoHotkey з вмістом шкідливого скрипта.

AutoHotkey – це інструмент для Microsoft Windows, з відкритим вихідним кодом, який дає можливість створювати макроси, скрипти та автоматизовувати часто виконувані завдання на вашому ПК.

Зловмисники розповсюджують дану кампанію за допомогою електронної пошти, у вигляді листа з прикріпленим файлом Microsoft Office Excel, який представляється як легітимний файл
"Military Financing.xlsm."

Процес зараження до отримання віддаленого доступу через TeamViewer

У повідомленні електронної пошти прикріплений файл називається «Foreign Military Financing (FMF)» (Іноземне військове фінансування (FMF)), названий на честь програми уряду США зі співробітництвом в галузі безпеки.

Зловмисники обманюють користувачів, стверджуючи, що даний документ містить конфіденційну інформацію. Після того, як користувачі відкриють зловмисні документи з вкладення електронної пошти, за допомогою макросу розпочинається автозавантаження, яке загружає зловмисний файл. Згодом його підключають до свого керуючого сервера (С2) для завантаження та виконання додаткових скриптів.

За даними Trend Micro, залежно від скриптів, програма AutoHotkey може призначити гарячу клавішу або виконати будь-який процес, написаний скриптом. У цьому випадку скрипт AutoHotkeyU32.ahk не призначає гарячу клавішу, але виконує такі команди:

- створює ярлик в папці автозавантаження для AutoHotkeyU32.exe, даючи нагоду зберігатися навіть після перезавантаження системи;
- підключення до сервера C2 кожні 10 секунд, для завантаження, зберігання та виконування скриптів, що містять відповідні команди;
- надсилає номера серійного диска С, що дозволяє зловмисникам ідентифікувати жертву.

Остаточний скрипт завантажуватиметься та виконуватиме запуск програми TeamViewer для отримання віддаленого доступа до системи.

Дослідження Trend Micro виявили, що файли, які брали участь у атаці дозволяли зловмисникам отримувати ім'я комп'ютера та робити знімки екрану.

Індикатори кіберзагроз:

Main object:

"Military Financing.xlsm"

"hscreen.ahk"

"AutoHotkeyU32.ahk"

"hinfo.ahk"

"htv.ahk"

SHA256:

EFE51C2453821310C7A34DCA3054021D0F6D453B7133C381D75E3140901EFD12

43FBDA74A65668333727C6512562DB4F9E712CF1D5AD9DCA8F06AE51BB937BA2

ACB3181D0408C908B2A434FC004BF24FB766D4CF68BF2978BC5653022F9F20BE

BE6C6B0942AD441953B0ED0C4327B9DED8A94E836EACA070ACA3988BADB31858

F64792324839F660B9BDFDA95501A568C076641CF08CE63C1DDBE29B45623AC0

Connections:

ip 185[.]70[.]186[.]145

Detection name:

W2KM_HTV.ZKGD-A

TSPY_HTV.ZJGD-A

BKDR_HTV.ZKGD-A

TSPY_HTV.ZLGD-A

TROJ_HTV.ZJGD-A

Джерело: TREND Micro