Компьютеры на Windows получают бэкдор через файлы Microsoft Publisher

Исследователи из компании Bitdefender сообщают, что обнаружили спам-кампанию по распространению файлов Microsoft Publisher (PUB) с трояном внутри, который устанавливает бэкдор на инфицированные компьютеры. Было обнаружено несколько тысяч электронных писем с вложениями в виде файлов формата .pub.

Сами письма приходят якобы от компаний из Великобритании и Китая и говорят о сделанных пользователем заказах. При открытии файла PUB активируется скрипт VBScript, который скачивает самораспаковывающийся файл (CAB). Он содержит скрипт AutoIt и зашифрованный алгоритмом AES-256 файл. Скрипт AutoIt оказывается ключом дешифрования этого файла, который и является бэкдором, позволяющим хакерам получать дистанционный доступ к заражённому компьютеру.

Троян может фиксировать нажимаемые клавиши, запоминать вводимые в формы пароли, отсылать на сервер пароли из браузеров и почтовых клиентов, собирать информацию о системе. Пока трояну не дали имя и Bitdefender обозначает его как Generic.Malware.SFLl.545292C. Файл PUB определяется как W97M.Downloader.EGF.

По словам исследователей, использование файлов PUB, входящих в состав приложения в сервисе Office 365, является нетипичным для сетевых злоумышленников. Возможно, именно по этой причине он и был выбран, чтобы не вызывать подозрений.