Специалистами компании Palo Alto Networks было зафиксировано появление новой вредоносной программы PowerSniff, атакующей в основном американских и европейских пользователей. Отличительной чертой данной программы является сочетание вредоносных макросов и PowerShell.
В настоящее время эксперты зафиксировали 1500 спам-писем, содержащих вредоносную программу PowerSniff. Техники, используемыми злоумышленниками, уже давно являются известными, но специалисты впервые обнаружили их сочетание.
Спам-рассылки давно применяются хакерами для распространения вредоносных документов Word. Факт использования макросов для доставки вредоносных программ является общеизвестным, однако макросы в Word до сих пор являются включенными по умолчанию, вследствие чего их выполнение происходит автоматически сразу после того, как пользователь открыл документ.
Но в PowerSniff присутствует более совершенный механизм. После того, как был запущен документ, а вместе с ним и макрос, активизируется PowerShell.
С помощью PowerShell осуществляется загрузка скрипта с шелл-кодом для его последующего внедрения в определенную область системы. Шелл-код необходим для расшифровки и исполнения вредоносного файла. Программа сначала производит проверку среды, в которой она находится. Также происходит анализ системы на предмет принадлежности компьютера учреждению образования или здравоохранения. Хакеры не нападают на такие организации. Целями вредоносной программы являются банки и магазины. PowerSniff также ищет в системе установленные PoS-программы и приложения для проведения финансовых операций.
По окончанию изучения системы PowerSniff связывается с командным сервером. Однако за время наблюдения за активностью вредоносной программы экспертам Palo Alto Networks не удалось зафиксировать фактов получения ответа от злоумышленников.
Специалисты Palo Alto Networks советуют пользователям отключить макросы в Word, а также игнорировать подозрительные файлы.