Злоумышленники рассылают электронные письма с вредоносными вложениями.
Эксперты из компании «Доктор Веб» идентифицировали новую троянскую программу из семейства W97M.DownLoader (согласно классификации, принятой в «Доктор Веб»). Специалисты отметили, что преступники постоянно рассылают пользователям электронные письма, содержащие такие вредоносные вложения. С начала августа этого года доля таких рассылок составила 1% от всего количества троянских программ, распространяемых по электронной почте.
Образец троянского загрузчика, который был получен исследователями, представляет собой документ Microsoft Word, вложенный в электронное письмо. Вредоносная программа была замаскирована под факсимильное сообщение, пересылаемое по почте.
Злоумышленники якобы зашифровали документ, используя алгоритм RSA, и для того, чтобы пользователь мог прочесть его содержимое, ему предлагалось активировать в редакторе Word использование макросов. Кроме того, документ содержал якобы пустую страницу, на которой, однако, присутствовал полный текст письма, написанный с использованием белого шрифта, который становится видимым после включения макросов.
Пока пользователь просматривал текст документа, с удаленного сервера осуществлялась загрузка нескольких фрагментов кода, из которых формировались файлы скриптов в форматах .bat, .vbs или .ps1 в зависимости от того, какую версию операционной системы Windows использует жертва. Далее происходила загрузка сценариев на диск и их запуск. Скрипты скачивали с сервера, принадлежащего атакующим, и запускали исполняемый файл, который содержал вредоносную банковскую программу Trojan.Dyre.553.