- Регистрация
- 26.10.16
- Сообщения
- 2,233
- Онлайн
- 38д 4ч 33м
- Сделки
- 251
- Нарушения
- 0 / 0
Техника наведения курсора (mouseover) используется для распространения вредоносного ПО Graphite. Жертву заманивают мошенническими PPT-файлами PowerPoint, которые связаны с Организацией Экономического Сотрудничества и Развития (ОЭСР).
Внутри файла содержатся 2 слайда с инструкциями на английском и французском языках по использованию параметра «Интерпретация» в приложении Zoom.
При открытии документа-приманки в режиме презентации и наведении курсора мыши на гиперссылку активируется вредоносный PowerShell скрипт для загрузки JPEG файла из учетной записи Microsoft OneDrive.
JPEG файл представляет из себя зашифрованный DLL-файл, который расшифровывается и помещается в каталог «C:\ProgramData\», а затем выполняется через «rundll32.exe». Также создается ключ реестра для сохранения постоянства в сети.
После деобфускации полученная полезная нагрузка — вредоносное ПО Graphite — использует API Microsoft Graph и OneDrive для связи с сервером управления и контроля (C&C). Для доступа к сервису злоумышленник использует фиксированный идентификатор клиента и действительный токен OAuth2.
В конечном итоге Graphite позволяет злоумышленнику загрузить другое вредоносное ПО в системную память и сохранить постоянство в системе. Вредоносное ПО позволяет удаленно выполнять команды, выделяя новую область памяти и выполняя полученный шелл-код с помощью вызова нового выделенного потока.