Вирусът MuddyWater дебне в прикачени MS Word документи

Атаката използва нов подход за заразяване, който директно инжектира зловреден скрипт в документа, без нуждата от VB и PowerShell скриптове.

Николай Пасков

18/06/2018, 5:49

Последен ъпдейт на 21 юни 2018 в 04:36 ч.

Нова кампания на небезизвестния вирус MuddyWater, която използва стартиране на PowerShell script в MS-Word документ, бе разкрита от анализаторите на Trend Micro.

Вирусът бе засечен за първи път през 2017 г. и бе насочен срещу правителството на Саудитска Арабия. По-късно нова серия от атаки бяха извършени към други страни като Турция и Пакистан, а през март тази година – и към Таджикистан.

Новото и различно при тази вълна на кампанията е, че атаката не използва VisualBasic Script и PowerShell компонентни файлове, а директно инжектира скрипта, нужен за атаката в самия Word документ.

Как протича заразата

Първата стъпка от атаката обикновено цели да заблуди жертвата. Тя получава мейл с обещания за награда или промоция и бива подмамена да изпълни макрокода в документа, прикачен към лъжливото писмо.

След послушното стартиране на кода, той използва фукнцията Document_Open(), за да стартира автоматично зловредната си част. Задълбочен анализ на малуера показва, че PowerShell скрипта, който декодира съдържанието на зловредния документ, води до изпълненито на втори скрипт.

Изпълнението на втория PowerShell скрипт използва различни зловредни компоненти, намиращи се в %Application Data%\Microsoft\CLR\*, които от своя страна стартират финалния payload – PRB-Backdoor (няма общо с Прокуратурата на Република България :) ). PRB-Backdoor е инструмент, който комуникира с команден център, изпращайки или получавайки специфични команди, чрез които извършва своята зловредна активност.

За улеснения на читателите, прилагаме така наречения IOC (Indicator of Compromise), които може да бъде използван за засичане на атаката.

SHA -1 – 240b7d2825183226af634d3801713b0e0f409eb3e1e48e1d36c96d2b03d8836b

Съвет от специалистите – как да се предпазим

Най-добрият начин за предпазване от този тип атаки е да не се доверявате и да не отваряте съдържанието на съмнителни документи или мейли, които ви обещават промоции, награди или други финансови облаги.

Разбира се, не можем да минем и без да ви посъветваме да използвате лицензиран антивирусен софтуер, за да имате шанс пред атакуващите, в случай че все пак отворите документа.