Эксперты FireEye обнаружили вредоносный Word-документ, предназначенный для использования в целевых атаках против русскоязычных пользователей. Данный DOC-файл содержит модуль установщики многокомпонентного зловреда, ворующего персональные данные. Эксперты нарекли его Sanny, воспользовавшись именем одного из адресов электронной почты, используемых в данной схеме атаки. Для отвода глаз воспроизводится легальный документ ― русскоязычный справочный материал о форуме АСЕАН по безопасности. По свидетельству экспертов, Sanny собирает идентификаторы к учетным записям из Microsoft Outlook, Internet Account Manager; пароли к онлайн-сервисам, сохраненные в Firefox, а также региональные настройки и другую информацию, определяющую профиль пользователя. Краденые данные затем отсылаются по HTTP-протоколу через POST-запрос к управляющему серверу. Интересен тот факт, что зловред при этом использует веб-форму, размещаемую на корейской доске объявлений. Поскольку этот веб-сервис не требует авторизации, весь перечень жертв трояна Sanny хранится на сервере в открытом виде. Инициатор атаки регулярно изымает эту информацию ― примерно раз в 2 дня ― и стирает ее из базы. Если доска объявлений недоступна, зловред пытается связаться с почтовым сервером Yahoo, также размещенным в Южной Корее, и отослать краденые данные на какой-либо из заданных почтовых адресов. FireEye обнаружила 2 таких адреса, и один из логинов ― "jbaksanny" ― вдохновил экспертов при выборе имени для данного зловреда. Как определила FireEye, список жертв Sanny включает, в основном, российских пользователей, в частности, Университет дружбы народов (РУДН) и ИТАР-ТАСС. Эксперты нашли в нем также несколько антивирусных компаний и специалистов по компьютерной безопасности, изучающих эту угрозу. Корейский управляющий сервер все еще функционирует. По последним данным, многие антивирусы списка VirusTotal уже детектируют модуль установки зловреда как Win32.Daws.
Источник