Направляем информацию о фактах распространения вредоносного программного обеспечения в продуктахMSOffice компании Microsoft, которое вызывает PowerShell для скрытной загрузки вредоносного программного обеспечения.
В связи с тем, что разработчики программного обеспечения (ПО) из «недружественных» РФ стран стали встраивать нежелательный контент для пользователей из России, а также повысился риск внедрения недокументированных возможностей (НДВ) или добавления механизмов блокировки работы данного ПО, НКЦКИ выпустила бюллетень, в которой представлен алгоритм, призванный упростить процесс принятия решения о необходимости установки обновлений ПО. Любое производимое обновления ПО с зарубежных ресурсов производится с учетом оценки рисков на предмет заражения обновляемых узлов или прекращению их работоспособности в результате обновления.
К этому типув основном относятся документы MicrosoftOffice, которые содержат вредоносный VBA-скрипт, вызывающий PowerShell для скрытной загрузки вредоносного программного обеспечения.
Сведения об индикаторах компрометации: HEUR:Trojan.MSOffice.SAgent.gen
Описание:
Зафиксирован факт распространения вредоносного программного обеспечения, классифицируемого различными антивирусными решениями как «HEUR:Trojan.MSOffice.SAgent.gen».
Индикаторы компрометации:
URL-адреса и IP-адреса, к которым производятся обращения:
31.42.177[.]165
77.83.173[.]156
Адреса и домены отправителей писем:
admin[@]armstroy42[.]ru
Хэши:
c80d8365e2e575f7e4e5be24d610eab3
MD5: c80d8365e2e575f7e4e5be24d610eab3
SHA1: f3eb83f09b4405fc268c1fe363854e624706416d
SHA256: bceeb0af264810f178159645364df59cdb8933677406cdd7f40743dced1ba767
MD5: 86f42b37077050a5ec4066062a0073d2
SHA1: bf4af355e3cbda2e5b87a62a57d8fd6b36c8260d
SHA256: 7776fb40f9451b7adbb96ce1cbd891feb762b0eb28f2e8835c52f76dd 28d99ec
Описание ВПО и рекомендации пользователям при обнаружении факта заражения:
https://threats.kaspersky.com/ru/threat/Trojan.MSOffi..
https://malwarefixes.com/threats/trojan-msoffice-sage..
https://malware.windll.com/ru/cutwail-malware-removal