Вредоносное ПО FAREIT использует при атаках PowerShell


Trend MicroКомпанией Trend Micro был выявлен новый вид атак с использованием вредоносного ПО FAREIT, предназначенного для похищения данных. Данное семейство вредоноснов известно антивирусным вендорам еще с 2011 года. Современная модификация вредоноса распространяется злоумышленниками при помощи средств автоматизации PowerShell.

Напомним, атаки с использованием PowerShell, специалисты Trend Micro фиксируют с 2014 года. И хотя поначалу злоумышленники крайне редко применяли данную технику, все же она является достаточно эффективной. Во-первых, для жертвы остается незамеченной вредоносная активность. Это связано с тем, что PowerShell работает в фоновом режиме. Кроме того, с помощью данной функции Windows злоумышленники могут похищать имена пользователей и пароли, обходясь без исполняемого файла.

Распространяется вредоносное ПО FAREIT посредством фишинговых писем со вложенным вредоносным PDF-файлом или документом Word с вредоносными макросами. PowerShell запускается в тот момент, когда жертва открывает PDF-файл. Для выполнения вредоносного кода злоумышленники используют OpenAction. На систему загружается TSPY_FAREIT и похищает сохраненные в браузерах:

  • логины и пароли;
  • учетные данные электронной почты;
  • связанную с биткойнами информацию и пр.


Процесс инфицирования происходит в момент открытия жертвой документа с вредоносными макросами (при условии, активированных макросов). Как правило, вредоносное ПО использует либо макросы, либо PowerShell. В случае с FAREIT - применяет и то, и другое.

Также стоит напомнить, что в марте нынешнего года было обнаружено вымогательское ПО PowerWare, также использующее и PowerShell, и макросы. Отличие этих двух вредоносов в том, что:

  • PowerWare - сначала использует макросы, а затем запускает PowerShell, где содержатся параметры для вредоносного кода;
  • FAREIT - вредоносный PDF-файл использует OpenAction для непосредственного запуска PowerShell с параметрами, содержащими вредоносный код.

Обновлено (26.04.2016 23:54)