×

Хакеры используют курсор мыши для доставки вредоносного ПО

Хакеры используют курсор мыши для доставки вредоносного ПО

Для заражения пользователю достаточно посмотреть на вредоносную ссылку.

По данным исследовательской компании Cluster25, группировка Fancy Bear (APT28) использует новую технику удаленного выполнения кода. Хакеры используют движения мыши в презентациях Microsoft PowerPoint для выполнения вредоносного PowerShell сценария с помощью утилиты «SyncAppvPublishingServer». Сообщается, что атаки нацелены на организации в оборонном и правительственном секторах Евросоюза и восточноевропейских стран.

Техника наведения курсора (mouseover) используется для распространения вредоносного ПО Graphite. Жертву заманивают мошенническими PPT-файлами PowerPoint, которые связаны с Организацией Экономического Сотрудничества и Развития (ОЭСР).

Внутри файла содержатся 2 слайда с инструкциями на английском и французском языках по использованию параметра «Интерпретация» в приложении Zoom.


При открытии документа-приманки в режиме презентации и наведении курсора мыши на гиперссылку активируется вредоносный PowerShell скрипт для загрузки JPEG файла из учетной записи Microsoft OneDrive.

JPEG файл представляет из себя зашифрованный DLL-файл, который расшифровывается и помещается в каталог «C:\ProgramData\», а затем выполняется через «rundll32.exe». Также создается ключ реестра для сохранения постоянства в сети.

Начало формы

Конец формы

После деобфускации полученная полезная нагрузка — вредоносное ПО Graphite — использует API Microsoft Graph и OneDrive для связи с сервером управления и контроля (C&C). Для доступа к сервису злоумышленник использует фиксированный идентификатор клиента и действительный токен OAuth2.

В конечном итоге Graphite позволяет злоумышленнику загрузить другое вредоносное ПО в системную память и сохранить постоянство в системе. Вредоносное ПО позволяет удаленно выполнять команды, выделяя новую область памяти и выполняя полученный шелл-код с помощью вызова нового выделенного потока.

0-day уязвимость Google заставляет программу поверить в ложные данные

Пользователям нужно срочно обновить Google Chrome, чтобы не потерять контроль над компьютером.

Мошенник вернет криптоинвестору украденные $20 млн.

Американец арестован за серию связанных краж криптовалюты на десятки миллионов долларов.

Стала известна причина масштабного сбоя в работе Microsoft в крупнейших странах мира

Некоторые функции продуктов Microsoft были недоступны в течение 10 часов.