Экспертами Bitdefender была зафиксирована спам-кампания, в ходе которой киберпреступники осуществляют распространение бэкдора, замаскированного под файл Microsoft Publisher (.pub), который предназначен для кражи конфиденциальных корпоративных данных. Чаще всего хакеры атакуют малые и средние компании.
В электронных письмах, написанных от имени различных британских и китайских компаний, содержится вложенный файл Microsoft Publisher. При открытии вложения происходит запуск скрипта VBScript, который осуществляет загрузку на компьютер самораспаковывающегося CAB-файла. Примечательно, что в письме присутствует рекомендация открывать прикрепленный файл с помощью приложения Microsoft Publisher. В загруженном CAB-файле содержится скрипт AutoIt, утилита для его запуска и еще один файл, который зашифрован с использованием алгоритма AES-256. Ключом дешифрования для этого файла является строка в скрипте AutoIt.
В действительности зашифрованный файл – это бэкдор, используя который киберпреступники могут заполучить доступ к зараженному компьютеру. Троянская программа имеет функционал кейлоггера, записывает учетную информацию, которая используется в браузерах и почтовых сервисах, а также просматривает сведения о системе.
Эта спам-кампания необычна тем, что для хостинга вредоносной программы используются файлы с расширением .pub. По словам эксперта из Bitdefender Адриана Мирона, киберпреступники применяют этот формат, так как он обычно не ассоциируется у пользователей с риском заражения.