Истина где-то ниже
Ноябрь 20, 2018

Троян tRAT использует спам и вредоносные макросы

Очень плохоПлохоСреднеХорошоОчень хорошо (Еще нет голосов, оставьте первым)
Загрузка...

Эксперты Proofpoint обнаружили новый модульный RAT-троян на вооружении у группировки TA505. На данный момент зловред не продемонстрировал свои боевые возможности, что не позволяет специалистам в полной мере оценить его потенциал.

Аналитики дали своей находке название tRAT. В сентябре и октябре этого года троян заметили в серии спам-рассылок, которые использовали зловредные макросы Microsoft Office, чтобы скрытно устанавливать нежелательное ПО.

В одном случае Word-вложение было оформлено в стилистике бренда Norton — таким образом преступники пытались убедить жертву, что файл не представляет угрозы. Эксперты зафиксировали кампанию 29 сентября и связали ее со злоумышленниками, которые двумя днями ранее рассылали похожие вредоносные письма от лица TripAdvisor.

По информации авторов отчета, вторую связанную с RAT-трояном кампанию организовали уже преступники из TA505. Она пришлась на 11 октября и оказалась более изощренной — злоумышленники использовали файлы Word и Publisher, меняли темы письма и адреса отправителя. По словам аналитиков, эти атаки были направлены на банковских сотрудников.

Преступники тщательно зашифровали вредоносный код, что затрудняет экспертам его анализ. Известно, что после установки tRAT закрепляется на компьютере жертвы и добавляет себя в список автозагрузки. Далее он вступает в коммуникацию с командным сервером, однако смысл однобуквенных сообщений, которыми они обмениваются, пока установить не удалось.

Специалисты выяснили последовательность действий, по которой tRAT загружает дополнительные модули. Поскольку в реальных атаках зловред пока не замечен, детали этой функции, равно как и список доступных к скачиванию блоков, остаются неизвестными.

Эксперты заключают, что новый троян говорит о стремлении TA505 расширить использование шпионского ПО, доставляемого по электронной почте. Октябрьская кампания также может оказаться единственным случаем применения tRAT — авторы напоминают, что ранее преступники отказывались от работы с Cobalt Strike, Bart и другими опасными зловредами после короткого испытательного периода. В то же время за тестированием шифровальщика Locky и RAT FlawedAmmyy последовали масштабные атаки, поэтому специалисты призывают не списывать новый троян со счетов.

Преступники из TA505 входят в число наиболее активных кибергруппировок, в том числе благодаря использованию продвинутых методов атак. Ранее эксперты сообщали, что злоумышленники применяют специализированную систему распределения трафика, чтобы эффективно разворачивать эксплойт-паки, и арендуют ботнеты для сокрытия своей вредоносной активности.

Источник: https://threatpost.ru/trat-found-in-malicious-spam-used-by-ta505/29249/