Fortinet обнаружили схему компрометации и захвата хостов с помощью скрипта в файлах Microsoft Excel.
Злоумышленники используют законный фрэймворк для пентестов Cobalt Strike чтобы наладить связь с серверами злоумышленников.
Как это работает:
- Пользователь под воздействием техник социальной инженерии со стороны злоумышленника запускает файл Microsoft Excel.
- Табличный редактор запускает Visual Basic for Application скрипт из открытого файла.
- Скрипт запускает DLL загрузчик через regsvr32 для проверки запущенных антивирусных систем.
- Загрузчик подключается к удаленному серверу злоумышленников для загрузки вредоносного файла.
- Вредоносный файл развертывает Cobalt Strike Beacon, который и устанавливает связь с инфраструктурой злоумышленников.
Злоумышленники хитры, они используют проверку геолокации, кодировку строк и функции самоуничтожения, методики обхода средств защиты, чтобы скрыть свое присутствие от специалистов по безопасности.
Будьте осторожны, запускайте только проверенные файлы и от проверенных отправителей.
Будьте осторожны, запускайте только проверенные файлы и от проверенных отправителей.