Csali dokumentum elemzése
A FortiGuard Labs egy rosszindulatú, hamisított dokumentumra bukkant, amely az Energoatom, az ukrajnai atomerőműveket üzemeltető állami vállalattól származónak tűnteti fel magát, és a témája csalogató, a “látogatásra érkező személyek jóváhagyott listáját” tartalmazza. Az azonos fájlnévvel ellátott ISO fájlként jelenik meg és március közepén küldték be először a VirusTotalnak.
Megnyitáskor egy képet jelenít meg, amely arra utasítja a felhasználót, hogy engedélyezze a Word makrókód végrehajtását, hogy felfedje az ME Doc (My Electronic Document) által védett információkat. Ez a népszerű ukrán dokumentumkezelő rendszer fontos és kényes dokumentumok elektronikus formában történő kezelésére szolgál, így a hatóságok is ezt használják.
Az utasítás mögött elmosódott tartalom jelenik meg az Energoatom logójával, ami fontos információkat véd. A valóságban ez csak egy közönséges kép, amely a dokumentum felső rétegére kerül. Oldalra húzva felfedik alatta a védett információ.
Ez a rosszindulatú kampány néhány érdekes technikát mutat be, amelyeket a fenyegetés szereplői az észlelés elkerülésére és az elemzés megakadályozására használnak. Az ilyen technikák kombinációjával a fenyegetés szereplői elegendő időt nyerhetnek a kizsákmányolás utáni parancsok végrehajtására a sikeres fertőzés esetén, mielőtt észlelik őket.
A FortiGuard Labs megosztotta az azonosításhoz szükséges mutatókat is.