Οι ερευνητές ασφάλειας της Bitdefender λένε ότι ανακάλυψαν ένα κύμα spam να εξαπλώνει Microsoft Publisher (PUB) αρχεία μαζί με ένα νέο Trojan που ανοίγει μια κερκόπορτα σε μολυσμένους υπολογιστές.
Η εταιρεία αναφέρει ότι εντόπισε μερικές χιλιάδες από αυτά τα μηνύματα ηλεκτρονικού ταχυδρομείου σε ένα σύντομο χρονικό διάστημα, που όλα περιείχαν .pub συνημμένα αρχεία σε μηνύματα ηλεκτρονικού ταχυδρομείου.
Το συνημμένο PUB αρχείο, όταν ανοιχθεί, θα εκκινήσει ένα VBScript που κατεβάζει ένα αυτο-εξαγόμενο cabinet (CAB) αρχείο στον υπολογιστή του χρήστη.
Αυτό το αρχείο περιέχει ένα AutoIt script, ένα εργαλείο για την εκτέλεση του AutoIt script και ένα κρυπτογραφημένο αρχείο με τον AES-256 αλγόριθμο. Η ομάδα της Bitdefender παρατήρησε ότι ένα string από το AutoIt script χρησιμεύει ως το κλειδί αποκρυπτογράφησης για το τελευταίο αρχείο.
Το κρυπτογραφημένο αρχείο είναι στην πραγματικότητα ένα backdoor Trojan που επιτρέπει στους απατεώνες να συνδεθούν με τον μολυσμένο υπολογιστή.
Αυτό trojan μπορεί, επίσης, να κρατήσει αρχείο των πληκτρολογήσεων, να καταγράψει κωδικούς πρόσβασης καθώς πληκτρολογούνται σε φόρμες σύνδεσης, να εξάγει κωδικούς από browsers και email clients, να συγκεντρώσει πληροφορίες σχετικά με το μολυσμένο σύστημα και πολλά άλλα.
Η Bitdefender ομάδα δεν μπήκε στον κόπο να ονοματίσει το κακόβουλο λογισμικό, το οποίο αυτή τη στιγμή ανιχνεύεται μόνο ως Generic.Malware.SFLl.545292C. Τα PUB αρχεία που διαδίδουν το trojan, ανιχνεύονται σε ειδοποιήσεις ασφαλείας ως W97M.Downloader.EGF.
Το περίεργο με αυτή την malware εκστρατεία διανομής είναι η χρήση των PUB αρχείων, ειδικά στην Publisher εφαρμογή της Microsoft, μία από τις εφαρμογές που περιλαμβάνονται στο Office 365.
“Το .pub δεν είναι μια τυπική μορφή αρχείου για να φιλοξενήσει κανείς ένα κακόβουλο λογισμικό”, δήλωσε ο Adrian Miron, επικεφαλής της Antispam Lab στη Bitdefender. “Οι spammers το επέλεξαν επειδή οι άνθρωποι δεν συνδέουν συνήθως αυτόν τον τύπο αρχείου με την πιθανότητα μόλυνσης.”
