МЕДИКОВ АТАКУЕТ БЕСФАЙЛОВЫЙ БЛОКЕР

Новый блокер распространяется через спам-письма с прикрепленным документом Word, замаскированным под инвойс 29 Март 2016, 10:29
Злоумышленники продолжают экспериментировать с криптоблокерами, опробуя разные способы заражения. Расследуя киберинцидент у представителя сферы здравоохранения, эксперты Carbon Black обнаружили новую итерацию вымогателя, для доставки которой используются Microsoft Word и компонент Windows PowerShell. 
Вымогатель, нареченный PowerWare, отличается от прочих шифровальщиков тем, что он бесфайловый; эту технику ранее использовали операторы эксплойт-пака HanJuan, а совсем недавно – зловред-разведчик PowerSniff.
По свидетельству Carbon Black, новый блокер распространяется через спам-письма с прикрепленным документом Word, замаскированным под инвойс. При открытии этого файла получателю предлагают включить макрос, якобы для более адекватного отображения. Если пользователь последует этой подсказке, будет создан процесс cmd.exe, а затем вызван PowerShell для загрузки и запуска вредоносного скрипта.
Использование PowerShell в данном случае помогает обойтись без записи файлов на диск и позволяет зловреду органично вписаться в легитимную активность на компьютере. «Макрокоманда используется для запуска PowerShell и загрузки скрипта-вымогателя, – пояснил журналистам Threatpost старший вирусный аналитик Carbon Black Рико Вальдес (Rico Valdez). – Через макросы в документах Word распространяются многие зловреды. 
В большинстве случаев макрос загружает дополнительный бинарный код, более вредоносный (бэкдоры и т.п.). Здесь же загрузки дополнительных бинарников не происходит, всю грязную работу выполняет PowerShell (который уже присутствует в системе, причем на законных основаниях)». 
По словам Вальдеса, новый криптоблокер также использует PowerShell для шифрования файлов после компрометации. «Программой, которая фактически выполняет шифрование файлов, является PowerShell, – заявил эксперт. – Соответствующий скрипт загружается и подается на вход PowerShell. Следовательно, в данном случае мы имеем дело с нетрадиционным вредоносным ПО, дополнительный исполняемый код здесь не требуется, нужен лишь текстовый документ (скрипт)». 
Файлы жертвы шифруются, за ключ дешифрации злоумышленники требуют 500 долларов; через две недели после заражения эта сумма удваивается. PowerWare – не единственный криптоблокер, использующий макросы Microsoft Office для инициации заражения, хотя на компьютерах Windows они по умолчанию отключены. Так, этот вектор уже опробовал Locky, недавно поразивший сети медучреждений в Голливуде и Кентукки
Тем не менее, тот же Locky использовал макросы для загрузки файлов на скомпрометированную машину, а PowerWare старается этого не делать. «Эта атака полагается на убедительность социальной инженерии, способной заставить пользователя активировать макрос, – комментирует Вальдес. – Макросы включены во многие документы Word и таблицы Excel, так что пользователь может и не заподозрить неладное, хотя все зависит от его искушенности и рабочего окружения».