Повідомляємо, що 13.03.2019 року відбувалось розсилання шкідливих електронних листів від імені "Національного агентства з питань запобігання корупції", що містять шкідливий документ типу msword (*.doc) із VBA-макросами.

Розсилання шкідливих електронних листів #Ransomware #Troldesh. Повідомляємо, що відбувається розсилання шкідливих електронних листів, що містять .pdf документ. У вкладенні листа знаходяться .pdf документ, що містять посилання на завантаження із мережі архіву із шкідливим хххх.js (java-скрипт).

Повідомляємо, що відбулося масове розсилання шкідливих електронних листів, в якому знахоидться шкідливий виконуваний файл .exe. У вкладенні листів знаходиться архів-iso, що містить виконуваний файл Statement of Account for the month of march.bat.exe.

Зафіксовано масове розсилання електронних листів, що містять шкідливий документ, який експлуатує відому вразливість CVE-2017-11882 для завантаження екзепляру шкідливого програмного забезпечення типу AZORult. Azorult - троян-викрадач, здатний на зараженому комп'ютері збирати і відправляти на С2-сервер різні дані: історію браузера, збережені логіни і паролі, файли cookie, файли криптогаманців тощо.

Повідомляємо, що відбувається масове розсилання листів, що містять zip-архів із вкладеним файлом типу MS Windows shortcut (*.lnk). У вкладенні знаходиться zip-архів із вкладеним файлом типу MS Windows shortcut Balances_12052019.docx.lnk.

Повідомляємо, що відбувається розсилання шкідливих електронних листів від імені "Державної фіксальної служби України", що містять шкідливий документ типу msword із VBA-макросами.

Відбувається розсилання шкідливих електронних листів, що містять шкідливе посилання на завантаження зловмисного документу MSWORD. Подібні листи легко обминають системи захисту організації та дістаються скриньки кінцевого користувача, бо містять лише текст та посилання на завантаження шкідливого файлу при цьому назви файлів, що завантажуються генеруються випадково.

Розсилання шкідливих електронних листів з вкладення типу .doc що містять макроси. За допомогою макросів запускається powershell-скрипт який містить декілька посилань для завантаження екземпляру зловмисного трояна EMOTET.

У вкладенні листів знаходяться документи .docx які при відкритті завантажують за зовнішнім посиланням. Шкідливий виконуваний файл який зберігається в системі GdCvWYKodvy.bin, закріплюється за допомогою regsvr32.exe та запускається на виконання. Після закріплення в системі зловмисне ПЗ виконує ін’єкцію коду в системний процес.

За допомогою вкладених шкідливих обфускованих макросів запускається powershell.exe та завантажується за зовнішнім посиланням шкідливий виконуваний файл. Шкідливий зразок є екземпляром #ursnif, що є поширеним екземпляром банківського трояна.

Хакери використовували хостингову інфраструктуру в США для розміщення 10 шкідливих програм і розповсюджували їх через масові фішинг-кампанії.Розміщенні шкідливі програми наступні: п'ять банківських троянів, дві програми вимагачі (Ransomware) та три шкідливі програми, що викрадають особисту інформацію.