Специалистами обнаружена новая волна фишинговых кампаний с распространением вредоносного ПО SVCReady. «Это вредоносное ПО примечательно необычным способом доставки на целевые ПК с помощью шелл-кода, скрытого в свойствах документа Microsoft Office», - сказал аналитик угроз в HP Патрик Шлепфер в своем отчете .

Кампания включает в себя отправку по электронной почте Microsoft Word документа, который содержит VBA макросы для развертывания вредоносных полезных нагрузок. Особенностью этой кампании является то, что вместо использования PowerShell или MSHTA макрос запускает шелл-код , хранящийся в свойствах документа . Шелл-код впоследствии загружает вредоносное ПО SVCReady.

Вредоносное ПО может выполнять следующие действия:

• собирать системную информацию;
• делать снимки экрана;
• запускать команды оболочки;
• загружать произвольные файлы;
• загружать ПО RedLine Stealer для похищения паролей .

Источник: securitylab.ru