Исследователи безопасности из компании Palo Alto Networks обнаружили новую фишинговую кампанию, получившую название FreeMilk.
Объектами атак FreeMilk уже стали несколько крупных корпоративных сетей, в том числе принадлежащие одному ближневосточному банку, нескольким европейским фирмам, международной спортивной организации и «ряду лиц, связанных со страной в Северо-Восточной Азии» (предположительно речь идет о Северной Корее).
Злоумышленники эксплуатируют уязвимость CVE-2017-0199 в Microsoft Office, позволяющую удаленно выполнить код. Уязвимость связана с тем, как Microsoft Office и Wordpad обрабатывают специально сформированные файлы. Проблема была исправлена в апреле текущего года.
Эксплоит позволяет злоумышленникам получить полный контроль над зараженной системой путем хищения учетных данных. Затем хакеры перехватывают переписку целевого объекта с помощью специально сформированного контента, призванного обманом заставить жертву установить вредоносное ПО из якобы доверенного источника.
В случае успешной атаки на целевую систему устанавливается два типа вредоносных программ – PoohMilk и Freenki. Основная задача первой – запуск Freenki, которая, в свою очередь, собирает информацию на зараженном компьютере и может загружать дополнительное вредоносное ПО.
Информация, собранная Freenki, включает имя пользователя, имя компьютера, MAC-адреса и данные о запущенных процессах. Freenki также может делать скриншоты на зараженной системе. Вся информация отправляется на C&C-сервер злоумышленников.
По словам исследователей, вредоносное ПО PoohMilk уже использовалось в ходе фишинговой кампании в начале 2016 года. Freenki также было использовано хакерами в августе 2016 года в ходе атак на сайты, критикующие правительственный режим в Северной Корее.