Архив

Азартный макро-вирус WM97/Metys-D не любит проигравших!

Сегодня компания Sophos получила несколько сообщений от пользователей о появлении в «диком виде» нового вполне безобидного макро-вируса для MS Word WM97/Metys-D.

Особенность данного вируса состоит в том, что его написал, наверно, азартный человек.
18 сентября вирус предлагает сыграть пользователю в рулетку:

«Happy Birthday Jess! To celebrate, we’re going to see how lucky you are {Username}.
Click the OK button below to roll a number. If your number matches that of the dealer, you win!»

(«С днем рождения Джесс! Чтобы начать праздновать, посмотрим, насколько ты удачлив — {Имя пользователя}.

Нажми кнопку OK ниже, чтобы начать игру. Если твой номер соответствует номеру дилера, ты выиграл! «)

Если пользователь нажимает кнопку OK, вирус выводит одно из двух возможных сообщений в зависимости от выпавшей комбинации двух номеров — один пользователя, другой — вымышленного дилера:

«You roll a {number between 1 and 9} and the dealer rolls a {same number between 1 and 9}. You win!»

(«Вам выпал номер {между 1 и 9}, номер, выпавший дилеру {тот же номер между 1 и 9}. Вы выиграли!»)

Если выпавшие номера не совпадают, вирус отображает сообщение:

«You roll a {number between 1 and 9} and the dealer rolls a {number between 1 and 9}. I’m sorry, but you lost. Better luck next time!»

(«Тебе выпал номер {между 1 и 9}, номер, выпавший дилеру {номер между 1 и 9}. Мне жаль, но ты проиграл. В следующий раз тебе обязательно повезет!»)

Деструктивные действия:

В случае проигрыша пользователя вирус приписывает слова «YOU LOSE!» («ВЫ ПРОИГРАЛИ!») к началу документа.

Азартный макро-вирус WM97/Metys-D не любит проигравших!

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

Техники, тактики и процедуры атак на промышленные компании

В 2022 году мы расследовали серию атак на промышленные компании в Восточной Европе. В ходе кампаний атакующие стремились организовать постоянно действующий канал для вывода украденных данных, включая данные, размещенные на физически изолированных (air-gapped) системах.

Операция Триангуляция: ранее неизвестная целевая атака на iOS-устройства

В процессе мониторинга собственной корпоративной Wi-Fi сети, мы обнаружили подозрительную активность нескольких iOS-устройств. В результате анализа были обнаружены следы ранее неизвестной вредоносной программы.

Не только стилер: бэкдор Gopuram распространялся посредством атаки на цепочку поставок 3CX

В ходе изучения атаки 3CX на одном из компьютеров мы обнаружили файл guard64.dll. Библиотека с таким же именем использовалась в недавних развертываниях бэкдора, который мы назвали Gopuram и отслеживаем с 2020 года.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике