Вредоносная кампания, направленная на банки, расположенные на Ближнем Востоке, была зафиксирована исследователями FireEye. В рамках киберкампании хакеры организовали рассылку банкам электронных писем с вредоносными вложениями. По словам экспертов, киберпреступники пользуются уникальными скриптами, что нехарактерно для подобных кампаний.
Хакеры отправляют банковским служащим электронные письма с XLS-файлами, содержащими вредоносный макрос. Чтобы усыпить бдительность пользователей, в темах писем указываются сведения, связанные с IT-инфраструктурой.
Выявлен факт наличия в одном из писем настоящей переписки между несколькими сотрудниками финансового учреждения, в которой упоминались контактные данные служащих других банков. После осуществлялась переадресация данного письма другим служащим банка, но уже с вредоносным вложением. Специалисты утверждают, что вредоносный макрос функционирует лишь на рабочих станциях с операционной системой Windows Vista.
После того, как макрос был успешно запущен, на экране компьютера появлялся дополнительный контент, что не является характерной чертой таких киберкампаний. Но в этом случае хакерами были приняты дополнительные меры для усыпления бдительности пользователей.
Активированный макрос запускает скрипт, осуществляющий загрузку модифицированной версии инструмента Mimikatz и BAT-файла, с помощью которого осуществляется сбор важных данных о системе.
Одна из особенностей вредоносной программы – применение DNS-запросов в качестве каналов для получения данных. Этот метод используется для маскировки вредоносной активности.