Hackerii Gamaredon folosesc macrocomenzi Outlook pentru a răspândi malware la lista de contacte

Noile instrumente atribuite grupului de hackeri Gamaredon includ un modul pentru Microsoft Outlook care creează e-mailuri personalizate cu documente malițioase și le trimite la lista de contacte.

Gamaredon activează din anul 2013 și vizează instituțiile de securitate națională din Ucraina, devenind mai activ din decembrie 2019.

Spear phishing automat

Un nou instrument, folosit de Gamaredon (Primitive Bear) în atacurile cibernetice recente, conține un proiect Visual Basic for Applications (fișier .OTM) care vizează clientul de e-mail Microsoft Outlook cu macrocomenzi malițioase. Compromiterea unui cont de e-mail pentru a răspândi malware la lista de contacte nu este o metodă nouă, însă analiștii de la compania de securitate cibernetică ESET consideră că metoda folosită de Gamaredon nu a mai fost documentată public înainte și folosește multiple variante pentru CodeBuilder, modulul utilizat pentru injectarea de macrocomenzi sau șabloane în documentele de pe sistemul infectat.

Analizând modulul, cercetătorii au văzut că lanțul de evenimente începe cu un VBScript, care închide procesul Outlook. În continuare, scriptul modifică valorile din regiștri pentru a elimina protecția la executarea macrocomenzilor VBA în Outlook și stochează pe disc un fișier OTM, care ajută la răspândirea documentelor infectate către adresele de e-mail din lista de contacte. Outlook acceptă un singur proiect VBA, la un moment dat, iar fișierul OTM conține un script VBA (macro) care este responsabil pentru generarea e-mailului completat cu text și atașamente malware (.DOCX, .LNK).

Această metodă este eficientă, deoarece documentele sunt adesea partajate în cadrul organizației și se poate obține persistență, prin faptul că fișierele pot fi deschise de mai multe ori.

„Aceste module de injecție macro au, de asemenea, rolul de a modifica setările de securitate pentru macrocomenzi ale Microsoft. Astfel, utilizatorii afectați nu știu că își compromit din nou stațiile de lucru ori de câte ori deschid documentele. Am văzut acest modul implementat în două limbaje de programare diferite: C # și VBScript ” – au declarat cercetătorii ESET.

Aceștia au remarcat și faptul că malware-ul de tip downloader și backdoor este cel mai răspândit. 

  • Downloaders  – descarcă și execută un malware
  • Backdoors și file stealers – trimit fișiere către serverul de comandă și control (C&C); pot descărca și executa cod de la C&C
  • Batch file/VBScript  – sistem de scanare pentru documente Word ce stochează numele acestora într-un fișier text

Conform ESET, scripturile lui Gamaredon nu sunt definite prin calitatea lor, ci prin dezvoltare rapidă și volum, ceea ce explică multitudinea de erori și greșeli observate de cercetători (de exemplu, comentariile din codul sursă, codarea greșită a limbajului).

Sursa: https://www.bleepingcomputer.com