Дослідники компанії FireEye повідомили про нову кіберзлочинну операцію під назвою Felixroot. Про це йдеться у повідомленні експертів з кібербезпеки компанії FireEye, пише hubs.ua.
Зловмисники інсталюють бекдори на комп’ютери з операційною системою Windows через застарілі уразливості в пакеті Microsoft Office з метою шпигунства та викрадення файлів.
Кампанія націлена на ПК українських користувачів. Шкідливе програмне забезпечення Felixroot потрапляє до системи через фішингові листи зі шкідливими вкладеннями. Аттачмент виглядає як документ із вбудованим експлойтом (наприклад, Seminar.rtf), присвячений семінару із захисту навколишнього середовища.
Фішингові листи написані російською мовою та надіслані нібито із Казахстану. Вибір теми свідчить, що хакери націлені на певних користувачів. Експерти пов’язали цю кампанію з попередньою, під час якої зловмисники також використовували шкідливе програмне забезпечення Felixroot й атакували українських користувачів.
Для інсталяції бекдору хакери використовують дві уразливості в Microsoft Office – CVE-2017-0199 і CVE-2017-11882. Перша з них дозволяє завантажувати і виконувати сценарій Visual Basic, що містить команди PowerShell, коли жертва відкриває документ із вбудованим експлойтом. Друга уразливість дозволяє запускати будь-який код і отримати контроль над системою, яка піддається атаці.
Бекдор використовує кастомне шифрування і завантажується безпосередньо в пам’ять, пропускаючи диск, що дозволяє йому залишатися непомітним. Після завантаження у пам’ять Felixroot протягом 10 хвилин залишається неактивним. Потім шкідлива програма шукає команди для виконання і підключається до C&С-сервера, куда відправляє вкрадені файли.
Після того як Felixroot отримує і передає на сервер необхідні дані, шкідливий процес завершується, і всі сліди присутності на системі шкідливого ПЗ видаляються. Тож навіть у разі виявлення атаки відстежити її джерело буде неможливо.