Стало відомо, як документи Microsoft Word можуть красти паролі та криптовалюту

Дослідники з Fortinet FortiGuard Labs виявили складну фішингову кампанію, яка використовує документ-приманку Microsoft Word для поширення трьох різних типів шкідливого програмного забезпечення — Agent Tesla, OriginBotnet та RedLine Clipper. Програми можуть збирати широкий спектр даних із комп’ютерів, які працюють під керуванням Windows.

Фішинговий лист надходить із вкладенням у вигляді документа Word, в якому зображення спеціально розмите та інтегровано підроблений reCAPTCHA, щоб спровокувати користувача на взаємодію. При натисканні на зображення завантажувач доставляється з віддаленого сервера. Потім він послідовно встановлює OriginBotnet для моніторингу натискань клавіш (кейлоггінг) та крадіжки паролів, RedLine Clipper для крадіжки криптовалют та Agent Tesla для отримання конфіденційної інформації.

Цікаво, що завантажувач, розроблений на платформі .NET, застосовує методику бінарного заповнення, додаючи «порожні» байти для збільшення обсягу файлу до 400 МБ, щоб обійти ПЗ безпеки. Активація завантажувача запускає багаторівневий процес, який встановлює постійну присутність на зараженому пристрої та активує DLL-бібліотеку, яка відповідає за фінальну активацію шкідливих даних:

RedLine Clipper — створений для крадіжки криптовалют, підміняючи адресу гаманця в буфері обміну на адресу зловмисника.

Agent Tesla — інфостилер, що працює на .NET. Він служить для первинного проникнення в систему і крадіжки чутливої інформації.

OriginBotnet — нове шкідливе ПЗ, що збирає і систематизує облікові дані з різних програм і браузерів, відправляючи їх на сервер за допомогою HTTP POST-запитів.