Новые вредоносные атаки на Microsoft Outlook позволяют тайно взломать аккаунты.

Исследователи по информационной безопасности обнаружили новую вредоносную программу под названием FinalDraft. Она получает команды из черновиков электронных писем и может экспортировать данные, запускать PowerShell и многое другое.

Исследователи информационной безопасности из Elastic Security Labs обнаружили новую вредоносную программу, которая злоупотребляет черновиками электронных писем в Outlook для экспорта данных, выполнения команд PowerShell и других действий. Вредоносное ПО является частью более широкого набора инструментов, используемого в кампании под названием REF7707, направленной против правительственных организаций в Южной Америке и Юго-Восточной Азии. Исследователи сообщают, что этот набор инструментов состоит из нескольких компонентов: загрузчика под названием PathLoader, вредоносного ПО FinalDraft и множества утилит для проведения эксплуатации после проникновения.

Процесс атаки начинается с того, что жертва каким-то образом контактирует с загрузчиком. Исследователи не указывают подробно, как это происходит, но можно предположить, что используются традиционные методы: фишинг, социальная инженерия, поддельные копии коммерческого программного обеспечения и другие.

Загрузчик устанавливает FinalDraft, который создает канал связи через Microsoft Graph API. Он использует черновики электронных писем в Outlook для этого процесса. Вредоносное ПО получает OAuth-токен от Microsoft с использованием токена обновления, встроенного в его конфигурацию. Токены хранятся в реестре Windows, что обеспечивает злоумышленникам устойчивый доступ к компрометированному устройству.

FinalDraft позволяет атакующим выполнять множество команд, включая экспорт чувствительных данных, создание скрытых сетевых туннелей, изменение локальных файлов и выполнение PowerShell. После выполнения этих команд вредоносное ПО удаляет их, что усложняет анализ.

Исследователи нашли эту вредоносную программу на компьютере министерства иностранных дел одной из стран Южной Америки. Однако при анализе инфраструктуры Elastic обнаружил связи с жертвами в Юго-Восточной Азии.

Кампания направлена против устройств, работающих на Windows и Linux. Связь атаки с известными злоумышленниками не установлена, поэтому пока не ясно, была ли это государственная спонсорская деятельность или нет. Однако, учитывая цель кампании — шпионаж, можно предположить, что за ней стоят государства.

Подробный анализ, включая механизмы обнаружения, методы защиты и правила YARA, доступен по этой ссылке.