В результате многоступенчатой атаки на машину загружается похититель информации — Agent Tesla, Loki и т. п.
Исследователи из Cisco Talos зафиксировали новую вредоносную кампанию с многоступенчатой цепочкой заражения, использующей OLE-функциональность Microsoft Office, файлы в формате RTF и известные эксплойты.
Конечной целью злоумышленников является загрузка программы для кражи данных — Agent Tesla, Loki и т. п.
Атака начинается с открытия поддельного документа в формате .docx со встроенным объектом OLE2Link. На этом этапе злоумышленники используют эксплойт CVE-2017-0199; в случае успеха с заданного URL загружается rtf-файл с сильно обфусцированным содержимым. По свидетельству Cisco Talos, на момент анализа на вредоносный файл отреагировали лишь два антивируса из коллекции VirusTotal, да и те выдали вердикт «данные неправильного формата».
Зловредный документ RTF нацелен на эксплойт уязвимости CVE-2017-11882 в редакторе формул сторонней разработки (Equation Editor), запуск которого осуществляется через функции OLE/COM. При успешном эксплойте Equation Editor загружает со стороннего сервера целевой PE-бинарник и создает процесс scvhost.exe, который легко спутать с легитимным svchost. exe. Позднее scvhost.exe запускает еще один свой экземпляр, так как вредоносный код загружается в память с использованием техники process hollowing.
Доставляемый через эксплойт Agent Tesla способен воровать пароли из 25 широко используемых приложений, в том числе Chrome, Firefox, Internet Explorer, Yandex, Outlook, Thunderbird и Apple keychain. Он также умеет регистрировать нажатия клавиш, извлекать содержимое буфера обмена, делать снимки экрана, включать веб-камеру и загружать дополнительные вредоносные файлы. Вывод собранной информации зловред может осуществлять по разным каналам — SMTP, FTP, HTTP, но использует только HTTP POST, зашифровывая данные по 3DES.
Иногда по этой же схеме распространяется бот Gamarue/Andromeda, который тоже обладает типовыми функциями похитителя информации, но вдобавок способен захватить контроль над машиной жертвы. А в начале лета эксперты наблюдали схожую кампанию, нацеленную на засев шпиона FormBook. Не исключено, что со временем подобным образом будут распространяться и другие зловреды.