Специалисты компании Positive Technologies сообщили о новой масштабной вредоносной кампании, за которой стоит хакерская группировка TA558. Она активна с 2018 года и известна атаками на компании сферы гостеприимства по всему миру, но прежде всего в Латинской Америке. Для своей новой операции хакеры использовали метод стеганографии – внедрения вредоносного кода в изображения. Также по неизвестным причинам использующиеся в атаке файлы имеют названия, связанные с «любовной» тематикой, что позволило исследователям назвать кампанию SteganoAmor.

На первом этапе жертвы получают фишинговые письма с безобидными вложениями файлов Excel и Word. При этом письма рассылаются со скомпрометированных SMTP-серверов, что снижает вероятность их блокировки защитными решениями. Файлы эксплуатируют уязвимость CVE-2017-11882 в редакторе формул Microsoft Office. Она была исправлена корпорацией Microsoft еще в 2017 году, однако огромное число пользователей продолжают работать на старых версиях программ и являются уязвимыми для атаки.

В этом случае на устройство загружается изображение со внедренным в него вредоносным кодом. И на финальном этапе из него с помощью PowerShell извлекается и запускается основная загрузка вредоносного ПО. Она варьируется от цели к цели, в частности, это могут быть клавиатурные шпионы, инфостилеры, троянцы удаленного доступа и т.д. Загрузка осуществляется с легитимных облачных сервисов, например, Google Drive, а похищенные данные пересылаются на также легитимные, но скомпрометированные FTP-серверы. Все это позволяет маскировать трафик под легитимный и дополнительно осложняет обнаружение атаки.

К настоящему моменту, по данным Positive Technologies, злоумышленники осуществили таким способом уже 320 атак на компании и организации в различных странах мира. Способ надежно защитить себя от атаки SteganoAmor вполне прост и очевиден: нужно всего лишь обновить, наконец, свою версию Microsoft Office.