Trojan Downloader:O97M/Donoff - новый вариант вредоносных макросов


Trojan Downloader:O97M/Donoff (Microsoft Malware Protection Center) - новый вариант вредоносных макросов, распространяющийся посредством Microsoft Word документом. Для сокрытия вредоносного когда вирусописатели применили новую технику.

Документ Microsoft Word содержал семь VBA-модулей и пользовательскую форму VBA с тремя кнопками управления. Все модули были замаскированы под легитимные SQL-программы с активной и якобы безобидной макрос-функцией. В ходе более тщательного анализа пользовательской формы в поле Caption была обнаружена подозрительная строка, к тому же в зашифрованном виде. Как оказалось, в строке был зашифрован URL

  • hxxp://clickcomunicacion.es/<uniqueid>,

который перенаправлял пользователя на содержащую вымогательское ПО Locky страницу.

По сути, Trojan Downloader:O97M/Donoff - это ни что иное, нежели загрузчик, применяемый преступниками для инфицирования целевых систем другим вредоносным ПО. Данное вредоносное семейство существует несколько лет и распространяется в спам-кампаниях, в ходе которых злоумышленники используют различных методы социальной инженерии в попытках заставить пользователей открыть вредоносные вложения.

Locky - троян-шифровальщик, распространяющийся в спам-кампаниях с прикрепленным вложением в виде документа Microsoft Word. Документ содержит макрос, загружающий вымогательское ПО с удаленного сервера. Впервые вредонос появился в феврале 2016 года.