Платформа диагностики Windows (WTP) используется хакерами для распространения вредоносных программ. Эксперты Proofpoint обнаружили спам-кампанию, в рамках которой осуществляется распространение вредоносного документа Microsoft Word, использующего файл .DIAGCAB для заражения компьютера бэкдором LatentBot.
После того, как пользователь открыл документ, на экране появляется бессмысленный набор символов, а также предупреждение о неправильной кодировке. Чтобы решить данную проблему, пользователю предлагают два раза кликнуть по уведомлению. В результате этого действия жертвы осуществляется запуск файла .DIAGCAB, содержащего набор PowerShell скриптов, которые производят загрузку и установку троянской программы LatentBot на компьютер пользователя.
По словам экспертов, вредоносные макросы и скрипты «диагностики», применяемые хакерами, функционально почти не имеют отличий, поскольку и первые, и вторые дают злоумышленникам возможность выполнять серию операций на компьютере жертвы. Разница между ними лишь в том, что антивирусные решения, присутствующие на устройстве, выявляют программное обеспечение, загруженное с помощью вредоносных макросов, в то время как скрипты в большинстве случаев функционируют незаметно.
Платформа Windows Troubleshooting Platform – это средство для выполнения специальных модулей, призванных решать разные проблемы в конфигурации операционной системы, ее отдельных компонентах, приложениях, сервисах и устройствах.