Хакеры успешно возрождают интерес к макросам Microsoft Office, которые в настоящее время активно используются для распространения банковских троянских программ, а также вируса BlackEnergy. Как удалось выяснить исследователям из компании zScaler, данная техника применяется и операторами троянской программы Kasidet.
Распространение вредоносных макросов Office осуществляется с помощью фишинговых писем. Специалисты zScaler наблюдают значительный рост активности вредоносной спам-кампании на протяжении последних двух недель. Следует отметить, что, помимо Kasidet, тот же дроппер осуществляет загрузку банковской троянской программы Dridex.
Впервые о вредоносной программе Kasidet стало известно в 2013 году. До недавних пор хакеры использовали программу для того, чтобы осуществлять DDoS-атаки. Вероятно, в сентябре минувшего года разработчики вредоносного программного обеспечения добавили в свой продукт функционал для хищения данных.
Возможности вариации Kasidet, обнаруженной экспертами, шире, чем у ранних версий. Вредоносная программа может похищать конфиденциальные данные и из Интернет-браузеров, и из памяти PoS-систем. Кроме того, Kasidet осуществляет сбор сведений о названии и версии системы, а также проверяет ее на предмет наличия установленного антивирусного решения. Вся собранная информация отправляется на C&C-серверы из списка, который содержится в коде в виде зашифрованных URL.
Совместная загрузка Kasidet и Dridex совсем не указывает на то, что две киберкампании связан друг с другом. Как отмечают эксперты, сейчас доставка вредоносных программ с помощью документов Microsoft Office является популярной среди хакеров. Создатели Dridex пользуются данной техникой уже больше года.