KZ-CERT: Модифицированный вирус в виде документа Word распространяется по Казахстану
В Службу KZ-CERT поступило обращение о ежедневно повторяющейся рассылке, которая содержит вложение в виде файла Word под названием 945kaz. Проведенный экспертами анализ содержания позволил классифицировать данный инцидент ИБ как "Вредоносная активность". Распространение вирусов в документе Word не является уникальным случаем, и подобные инциденты ИБ уже известны. Однако в случае с обнаруженным файлом уникальность заключается в том, что вирус активируется только после третьей перезагрузки компьютера, что усложняет детектирование антивирусными программами и песочницами, а также расследование инцидента. Проще говоря, после открытия документа Word и активации исполнения макросов, вирус готовит платформу для основного вредоносного ПО. Причем делается это таким образом, чтобы максимально затруднить выявление основного функционала. До третьей перезагрузки компьютера (с момента активации макросов в документе) исполнения реального вредоносного функционала не происходит", - сообщили в пресс-службе KZ-CERT.
В ведомстве отметили, что такое большое количество перезагрузок используется злоумышленниками с учетом того, что обычно автоматизированные среды анализа (песочницы) не могут проанализировать активность, происходящую после перезагрузки компьютера в ее связи с действиями, произведенными до этой перезагрузки.
Для усложнения анализа на одном из этапов (первая перезагрузка) злоумышленники используют интересный и эффективный ход: создание определенного каталога в качестве признака успешной перезагрузки. Поскольку данную активность трудно отнести к вредоносной, достаточно мала вероятность успешного обнаружения вредоносного функционала в ходе такого анализа. Основной функционал данного вредоносного объекта заключается в загрузке и исполнении произвольного кода (базонезависимого, а не стандартного исполняемого файла) с сервера злоумышленников. Также благодаря приемам противодействия исследованию, злоумышленникам удастся скрыть от автоматического анализа сервер, с которого происходит загрузка реального кода. Можно классифицировать инцидент как достаточно опасный, поскольку подобная схема позволяет исполнить любой код, при этом обеспечивая возможности для его оперативного изменения", - объяснили специалисты.
Для обеспечения безопасности устройств Служба KZ-CERT рекомендует обновить антивирусное программное обеспечение, а также включить автоматическую проверку файлов на наличие угроз.
Служба также сообщила индикаторы заражения: 116.193.153.20 - IP-адрес сервера, с которого скачивается объект-загрузчик исполняемого кода в памяти; brands.newst.dnsabr.com - сервер, с которого осуществляется загрузка основного вредоносного (базонезависимого) кода.
В случае обнаружения подобного рода подозрительных рассылок, интернет-ресурсов с подозрительным содержанием, просим сообщать об этом нашим специалистам по бесплатному номеру 1400 (круглосуточно) или отправлять заявки по ссылкам: http://www.kz-cert.kz/ru/form, https://t.me/kzcert. Также вы можете направить письмо на электронный адрес: [email protected]", - напомнили в ведомстве.