Запуск присоединенного к письму ярлыка с расширением .url приводит к загрузке зловреда через эксплойт.
Исследователи предупреждают о новой спам-кампании, которая распространяет троян Quant Loader, загружающий программы-вымогатели и крадущий пароли.
Специалисты компании Barracuda наблюдают массовую рассылку электронных писем с архивом, внутри которого находится ярлык с расширением .url. При запуске файла скачивается скрипт, устанавливающий зловред Quant Loader.
«Это довольно изощренный способ проникнуть в систему, что может означать подготовку почвы для более серьезной атаки», — отметил в интервью для Threatpost Флеминг Ши (Fleming Shi), старший вице-президент по продвинутым технологиям ИБ-компании.
По словам Ши, адресатов обманным образом вынуждают открывать документы с незнакомым расширением, похожие на платежные квитанции. Названия файлов построены по одному шаблону, а в некоторых письмах даже нет текста, только тема.
Как отметили исследователи, эти ярлыки представляют собой вариант эксплойта для уязвимости CVE-2016-3353. Они содержат ссылки на JavaScript-файлы (а с недавнего времени — файлы сценариев Windows). Однако в данном случае перед URL стоит префикс file://, позволяющий получить скрипт через Samba, а не через веб-браузер.
Samba — это популярный стандарт для доступа к документам Windows, принтерам и сетевым ресурсам.
Брешь CVE-2016-3353 затрагивает версии Microsoft Internet Explorer с 9-й по 11-ю и получила высокий рейтинг опасности, согласно национальной базе данных уязвимостей США. Она связана с неправильной обработкой файлов .url из зоны Интернета, что позволяет злоумышленникам удаленно обходить ограничения доступа посредством специально созданного документа.
Троян Quant Loader продается на подпольных форумах и позволяет злоумышленникам с помощью панели управления конфигурировать полезную нагрузку и скачивать исполняемые файлы EXE и DLL, а также дает им привилегированный доступ к системе.
Согласно Forcepoint, Quant Loader появился на рынке еще в 2016 году. Раньше с его помощью распространяли вымогатель криптовалюты Locky Zepto и крадущие учетные данные зловреды Pony.
За прошедший месяц этот троянский загрузчик успел поучаствовать в целом ряде незначительных атак. В рамках первой из них, которая прошла 5–6 марта, мошенники разослали миллионы электронных писем. Позднее —13 и 26 марта — последовали две новые волны вредоносного спама.
Поскольку в основе этой атаки лежат спам-кампании и методы социальной инженерии, специалисты из Barracuda призывают пользователей не открывать вложения в подозрительных электронных письмах. «Единственный способ борьбы с такими кампаниями — рассказывать о них людям», — считает Ши.