Fala ukierunkowanego spamu zaraża komputery z oprogramowaniem Windows przez szkodliwy program backdoor („tylną furtkę”) w taki sposób, że wykrada poufne dane z małych i średnich przedsiębiorstw. Osoby badające spam z firmy Bitdefender zidentyfikowali kilka tysięcy e-maili, które udawały zamówienia i faktury, zawierające w załączniku plik z rozszerzeniem .pub. Nadawcy wiadomości podszywają się głównie pod pracowników małych i średnich firm z Wielkiej Brytanii lub Chin , jak i też za inne legalne przedsiębiorstwa.


Odbiorcom doradza się, aby otworzyli załączony plik przy użyciu programu Microsoft Publisher, płatne oprogramowanie służące do tworzenia materiałów marketingowych, osadzony w usłudze Office 365. Publisher jest powszechnie stosowany jako edytor, narzędzie do tworzenia wzorców w celu sporządzenia ulotek, pocztówek, informatorów, elektronicznych biuletynów albo kartek okolicznościowych z życzeniami.

Plik typu .pub nie jest typowym formatem pliku hostującym złośliwe oprogramowanie” mówi Adrian Miron, przełożony sekcji ds. antyspamu w Bitdefender. „Spamerzy wybrali ten plik albowiem ludzie z reguły nie łączą pliku tego rodzaju z możliwością zarażenia komputera”.

Plik typu .pub zawiera skrypt (VBScript), który usadawia adres URL zachowując się jako zdalny host. Z tego miejsca złośliwe oprogramowanie (Malware) ściąga samorozpakowywujący się plik typu „cabinet” .CAB (format archiwizacji danych) zawierający skrypt AutoIt, narzędzie uruchamiające skrypt i zaszyfrowany plik AES-256. Specjaliści od złośliwych programów zauważyli, że zaszyfrowany plik może zostać odkodowany przy pomocy klucza zdobytego z MD5 (system „kodowania” danych) wiadomości zapisanej w pliku AutoIt.

Kiedy już plik zostanie odszyfrowany i zainstalowany atakujący mają dostęp przez tylne drzwi i mogą kontrolować zasoby na zarażonym komputerze. Złośliwe oprogramowanie jest w stanie „zapamiętać” naciśnięcia klawiatury, aby zarejestrować hasła i nazwy użytkowników, wykraść dane potrzebne do zalogowania z przeglądarek lub e-maili, przeglądać dane systemu i działać jeszcze w inny wścibski sposób.

Adrian Miron z Bitdefender dodaje: „ Mamy powody przypuszczać, że układ ten bierze swój początek w Arabii Saudyjskiej i Czechach”.

Bitdefender wykrywa i blokuje plik .pub jako W97M.Downloader.EGF i backdoor payload (inne szkodliwe narzędzie hakerskie) jako Generic.Maleware.SFLI.545292C0MD5:8bcaf480f97eb43d 3be d8fcc7bc129a4

Aby być zabezpieczonym przed tego rodzaju zagrożeniem, Bitdefender radzi zainstalować godny zaufania i solidny filtr antyspamowy. Użytkownicy powinni unikać otwierania i ściągania podejrzanych załączników w poczcie elektronicznej z niechcianych źródeł.

Autor: Alexandra Gheorghe

źródło: Bitdefender