Hackerii iranieni vizează un vânzător pentru guvernului american cu programe malware

Grupul APT34 a fost reperat într-o campanie malware care vizează clienții și angajații unei companii care lucrează îndeaproape cu agențiile federale din SUA și guvernele locale și de stat.

Grupul finanțat de Iran, APT34, a fost observat trimițând atașamente de e-mail țintă, răuvoitoare, către clienți și angajați ai unei companii care lucrează îndeaproape cu agențiile guvernamentale din SUA.

Compania în cauză este Westat, o companie de servicii profesionale care oferă servicii de cercetare guvernelor locale de stat și locale, precum și a peste 80 de agenții federale. Cercetătorii de la Intezer au descoperit campania după ce au detectat un fișier rău intenționat în ianuarie (denumit survey.xls), care se dorește a fi un sondaj de satisfacție a angajaților pentru angajații și clienții Westat.

E-mailurile conțin foi de calcul Excel care, odată descărcate, par a fi necompletate, conform analizei Numai după ce victimele activează macrocomenzi pe foaia de calcul apare sondajul - întrebând dacă victimele sunt satisfăcute de oportunitățile de dezvoltare a carierei și de formarea profesională, de exemplu - dar în fundal, de necunoscut, se execută codul de programare Visual Basic pentru aplicații (VBA) dăunător pentru macro.

Acest cod dezarhivează un fișier .ZIP într-un folder temporar, apoi extrage și instalează un fișier executabil, care este rulat la cinci minute după ce infectează sistemul, a spus Intezer. Aceasta descarca malware-ul TONEDEAF, care este un backdoor capabil să colecteze informații de sistem, încărcări și descărcări de fișiere și execuție arbitrară a comenzii shell.