Windows PowerShell и Google Docs используют для распространения трояна Laziok

В нынешнем марте было зафиксировано использование эксплоитов для браузера Internet Explorer, скриптов Windows PowerShell и хранимого в Google Docs вредоносного ПО для инфицирования целей трояном Loziak. Он стал известен год назад, когда компания Symantec проводила обзор групп кибершпионажа, использовавших Loziak для наблюдения за компаниями из энергетического сектора в странах Среднего Востока.

Loziak предназначен для кражи информации и регулярно используется для сбора данных, которые позднее могут применяться при атаках. Аналитики из компании FireEye наткнулись на новую угрозу, анализируя собираемую телеметрию. В ней используется вредоносный код на языке JavaScript, находящейся на сервере в Польше.

Когда пользователя браузера Internet Explorer заманивают на сайт с этим кодом, в действие вступает эксплоит, задействующий уязвимость CVE-2014-6332 и запускающий скрипт VBScript в Internet Explorer. Уязвимы версии IE от 3 до 11, в результате чего атакующие получают на компьютерах жертв доступ к «режиму Бога» (GodMode). Далее используются скрипты Windows PowerShell для скачивания исполняемого файла Loziak по ссылке на Google Docs.

Троян устанавливается и начинает собирать данные об имени компьютера, процессоре, размере оперативной памяти, стране и наличии антивируса. Сведения отправляются на удалённый сервер. Стоит отметить, что автоматические инструменты сканирования на серверах Google не помогли обнаружить хранящийся в Google Docs вредоносный код.