Може би сте чували за „Evil Corp“ от популярния хакерски сериал Mr. Robot (Господин Робот), но е силно вероятно да не сте чували, че съществува едноименна хакерска групировка със същото название. Evil Corp още известна като TA505 стана известна чрез своите мащабни и умели фишинг кампании. Сега от Microsoft забелязаха, че групировката е променила своята тактика и вече разпространява злонамерен софтуер и заразява потребителски компютри чрез злонамерени документи в Excel.
Компанията предостави повече подробности за новата кампания в поредица от публикации в официалният канал в социалната мрежа Twitter, в които частни и бизнес потребители на софтуерния гигант споделят, че са установили, че Evil Corp са опитали (и са успели) да атакуват техните компютри системи с помощта на Excel документи, съдържащи злонамерен макрос. От своя страна, Microsoft са потвърдили тези случаи и са решили да им дадат гласност.
Evil Corp съществува от 2014 г. и групировката е силно финансово мотивирана. Известно е насочването ѝ към търговски дружества, както и към финансови институции чрез използване на големи злонамерени спам кампании, задвижвани от ботнета Necurs.
Изследователите от Microsoft Security Intelligence обясниха как работи новата кампания на Evil Corp в туитър пост, който гласи:
„Новата кампания използва HTML пренасочвания, прикачени към имейлите. Когато се отвори, HTML кодът води до изтеглянето на Dudear – злонамерен макрос прикрепен в Excel файл, който инжектира хакерски код в системата на потребителя. За разлика от сега, преди групировката внедряваше злонамерения си код като прикачен файл или използваше препращане към фишинг URL адреси.“
Evil Corp
Тази нова кампания всъщност започна от предишни мащабни кампании на групировката, когато за първи път започна да използва HTML пренасочвания като част от атаките си. Предишните проведени имейл кампании, използваха прикачени файлове с неизвестни за масовия потребител разширения или маскирани като обикновени RAR или ZIP архиви или препращаха към злонамерени уеб страници, който приканват потребителя да изтегли злонамерения код, който да атакува системата му.
След като е инсталиран, злонамереният софтуер изтегля троянец за отдалечен достъп (RAT), известен като Grace Wire или FlawedGrace върху системата на жертвата.
В текста на имейл съобщенията от последната кампания се казва на жертвите да отворят Excel документа на своя компютър и да разрешат възможността за редактирането му, за да получат пълен достъп до съдържанието. Към момента все още няма информация колко са засегнатите от тези кампании, но предишните акции на групировката засегнаха стотици хиляди компютърни системи и нанесоха сериозни финансови щети.
Компанията за кибер сигурност Kaspersky вече излезе с изявление, че работи по добавянето на разпознаване на атаката в техните системи.