Троян Quant Loader распространяется через спам

16 апреля 2018 г., понедельник

Запуск присоединенного к письму ярлыка с расширением .url приводит к загрузке зловреда через эксплойт.

Исследователи предупреждают о новой спам-кампании, которая распространяет троян Quant Loader, загружающий программы-вымогатели и крадущий пароли.

Специалисты компании Barracuda наблюдают массовую рассылку электронных писем с архивом, внутри которого находится ярлык с расширением .url. При запуске файла скачивается скрипт, устанавливающий зловред Quant Loader.

«Это довольно изощренный способ проникнуть в систему, что может означать подготовку почвы для более серьезной атаки», — отметил в интервью для Threatpost Флеминг Ши (Fleming Shi), старший вице-президент по продвинутым технологиям ИБ-компании.

По словам Ши, адресатов обманным образом вынуждают открывать документы с незнакомым расширением, похожие на платежные квитанции. Названия файлов построены по одному шаблону, а в некоторых письмах даже нет текста, только тема.

Как отметили исследователи, эти ярлыки представляют собой вариант эксплойта для уязвимости CVE-2016-3353. Они содержат ссылки на JavaScript-файлы (а с недавнего времени — файлы сценариев Windows). Однако в данном случае перед URL стоит префикс file://, позволяющий получить скрипт через Samba, а не через веб-браузер.

Samba — это популярный стандарт для доступа к документам Windows, принтерам и сетевым ресурсам.

Брешь CVE-2016-3353 затрагивает версии Microsoft Internet Explorer с 9-й по 11-ю и получила высокий рейтинг опасности, согласно национальной базе данных уязвимостей США. Она связана с неправильной обработкой файлов .url из зоны Интернета, что позволяет злоумышленникам удаленно обходить ограничения доступа посредством специально созданного документа.

Троян Quant Loader продается на подпольных форумах и позволяет злоумышленникам с помощью панели управления конфигурировать полезную нагрузку и скачивать исполняемые файлы EXE и DLL, а также дает им привилегированный доступ к системе.

Согласно Forcepoint, Quant Loader появился на рынке еще в 2016 году. Раньше с его помощью распространяли вымогатель криптовалюты Locky Zepto и крадущие учетные данные зловреды Pony.

За прошедший месяц этот троянский загрузчик успел поучаствовать в целом ряде незначительных атак. В рамках первой из них, которая прошла 5–6 марта, мошенники разослали миллионы электронных писем. Позднее —13 и 26 марта — последовали две новые волны вредоносного спама.

Поскольку в основе этой атаки лежат спам-кампании и методы социальной инженерии, специалисты из Barracuda призывают пользователей не открывать вложения в подозрительных электронных письмах. «Единственный способ борьбы с такими кампаниями — рассказывать о них людям», — считает Ши.

Threatpost